一 


[4 





张 基 温 编著 


清华 大 学 出 版 社 


信息 系统 安全 教程 
(第 3 版 ) 


张 基 温 ”编著 


内 容 简 介 


本 书 从 应 用 的 角度 介绍 计算 机 信息 系统 安全 技术 。 全书 按 照 “ 威 胁 一 防护 一 管理 ”的 思路 组 织 为 5 章 ， 
内 容 包 括 信息 系统 安全 威胁 、 数 据 安全 保护 、 身 份 认证 与 访问 控制 、 网 络 安全 保护 和 信息 系统 安全 管理 。 

本 书 深入 浅 出 ， 结 构 新 颖 ， 紧 扣 本 质 ， 适 合 教学 ， 可 以 激发 读者 的 求知 欲 。 书 中 还 配 有 丰富 的 实验 和 
习题 ， 供 读者 验证 和 自 测 。 本 书 适合 作为 计算 机 科学 与 技术 专业 、 信 息 管理 与 信息 系统 专业 、 网 络 专业 和 
信息 安全 专业 的 “信息 系统 安全 概论 ”课程 的 教材 或 教学 参考 书 ， 也 可 供 有 关 技术 人 员 参 考 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
版 权 所 有 ， 侵 权 必 究 。 侵 权 举 报 电话 : 010-62782989 13701121933 


图 书 在 版 编目 《CIP) 数据 


信息 系统 安全 教程/ 张 基 温 编著 . 一 3 版 . 一 北京 : 清华 大 学 出 版 社 ，2017 
(高 等 教育 质量 工程 信息 技术 系列 示范 教材 ) 
ISBN 978-7-302-48130-0 


I . @ 信 … I. @ 张 … 了 H. @ 信 息 系 统 - 安全 技术 - 高 等 学 校 -教材 NN. DTP309 


中 国 版 本 图 书馆 CIP 数据 核 字 (2017) 第 208438 号 


责任 编辑 ， 白 立 军 
封面 设计 : 常 雪 影 
责任 校对 : 时 浴 兰 
责任 印 制 : 刘海 龙 


出 版 发 行 : 清华 大 学 出 版 社 


网 址 : http://www.tup.com.cn, http://www.wqbook.com 
地 址 : 北京 清华 大 学 学 研 大 厦 A 座 邮 ” 编 : 100084 
社 ”总 机 : 010-62770175 邮 ” 购 : 010-62786544 


投稿 与 读者 服务 : 010-62776969，c-service@tup.tsinghua.edu.cn 
质 量 反 馈 : 010-62772015，zhiliang@tup.tsinghua.edu.cn 
课 件 下 载 : http:/www.tup.com.cn,010-62795954 

: 北京 辱 海 金 澳 胶 印 有 限 公 司 

: 全 国 新 华 书店 

: 185mmX260mm 印 张 : 20.5 字 

: 2007 年 8 月 第 1 版 2017 年 11 月 第 3 版 印 

1 一 2000 

49.00 元 


漂 
吉水 党 讨 获 此 


: 482 千 字 
: 2017 年 11 月 第 1 次 印刷 


而 导 汪 六 暴 号 
污 潍 


到 
小 
d 


: 075146-01 


叫 | 


前 


C=) 


信息 系统 是 重要 的 ， 重 要 的 系统 需要 特别 保护 ， 计 算 机 信息 系统 是 复杂 的 ， 复 杂 的 系 
统 是 脆弱 的 ， 脆 弱 的 系统 也 需要 特别 保护 ， 计 算 机 信息 系统 是 虚拟 的 ， 虚 拟 的 系统 给 安全 
保护 带 来 很 大 困难 ;现代 信息 系统 是 开放 的 ， 开 放 的 系统 会 带 来 更 多 的 风险 。 重 要 、 复 杂 、 
虚拟 和 开放 ， 也 给 人 们 带 来 研究 的 乐趣 和 商业 机 会 。 现 在 信息 系统 安全 技术 和 产品 已 经 大 
量 涌现 ， 并 且 还 在 不 断 发 展 。 

本 书 主要 介绍 计算 机 信息 系统 的 安全 原理 。 作 为 一 本 原理 类 的 教材 ， 关 键 的 问题 是 要 
梳理 成 合理 而 又 容易 理解 和 掌握 的 体系 。 在 教学 实践 中 ， 笔 者 反复 探索 ， 将 安全 理论 梳理 
成 如 下 3 大 类 。 

(1) 攻防 技术 。 恶 意 程序 、 网 络 攻击 〈 黑 客 )、 隔 离 〈 好 辑 隔离 一 一 防火 墙 、 物 理 隔离 
和 电磁 防护 )、 安 全 监控 (IDS、 网 络 诱骗 和 审计 )、 紧 急 响应 和 取证 。 

(2) 安全 信任 体系 。 加 密 与 信息 隐藏 、 认 证 、 安 全 协议 。 

(3) 安全 体系 结构 和 评估 标准 。 

这 样 的 梳理 基本 上 襄 括 了 几乎 所 有 的 安全 技术 。 

在 内 容 的 安排 上 ， 考 虑 了 如 下 原则 。 

(1) 尽量 把 与 其 他 技术 或 概念 相关 的 内 容 排 在 后 面 ， 即 与 其 他 内 容 相关 最 少 的 排 在 最 
前 面 。 

(2) 将 能 引起 兴趣 的 内 容 排 在 前 面 ， 以 使 读者 能 有 成 就 感 。 

(3) 把 安全 体系 结构 和 安全 等 级 放 在 最 后 ， 这 样 不 仅 使 其 内 容 容易 理解 ， 而 且 也 是 对 
前 面 内 容 的 总 结 和 提高 。 

在 内 容 的 取舍 上 采取 的 原则 是 : 重点 内 容 详细 介绍 ， 次 要 内 容 只 做 一 般 介 绍 。 

本 书 每 章 最 后 都 配备 了 较 多 的 习题 ， 这 些 习题 有 如 下 不 同 的 类 型 。 

(1) 有 些 要 思考 、 总 结 。 

(2) 有 些 要 进一步 理解 。 

(3) 有 些 要 自己 想象 。 

(4) 有 些 要 查找 资料 。 

(5) 有 些 要 动手 实验 。 

本 书 的 第 1 版 正 是 基于 这 些 考虑 而 形成 的 。 
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常言 道 :“ 道 高 一 尺 ， 魔 高 一 丈 。” 信 息 系统 安全 是 针对 入 侵 和 攻击 采取 的 一 系列 安全 
策略 和 技术 。 然 而 ， 按 照 木 桶 原理 ， 当 一 块 短 的 木板 被 加 长 后 ， 另 一 块 次 短 的 木板 就 变 成 


最 短 的 木板 了 ; 而 一 种 攻击 被 防御 之 后 ， 新 的 攻击 又 会 出 现 。 在 这 个 充满 竞争 的 世界 里 ， 
攻击 与 防御 相伴 而 生 并 且 永 远 不 会 完结 ， 攻 与 防 的 博弈 将 在 竞争 中 永 无 止境 。 一 般 说 来 ， 
防御 往往 要 比 攻 击 付出 更 多 的 代价 ， 其 原因 如 下 。 

(1) 攻击 可 以 择机 发 起 ， 防 御 必 须 随时 警惕 。 

(2) 攻击 可 以 选择 一 个 薄弱 点 实施 ， 防 御 必 须 全 线 设 防 。 

(3) 攻击 一 般 使 用 一 种 或 几 种 技术 ， 防 御 则 需要 考虑 已 知 的 所 有 技术 。 

(4) 攻击 可 以 肆意 进行 ， 防 御 必须 遵循 一 定 的 规则 。 

社会 总 在 发 展 ， 技 术 总 在 进步 ， 攻 击 与 防御 也 在 博弈 中 相互 促进 。 信 息 系 统 安全 作为 
一 门 新 兴 的 技术 和 学 科 ， 在 本 书 第 1 版 出 版 后 的 近 7 年 间 ， 又 有 了 长 足 的 发 展 。 在 读者 和 
出 版 社 的 不 断 呼吁 下 ， 笔 者 下 大 力气 进行 全 面 修订 ， 并 在 内 容 上 进行 了 增删 ， 删 除了 已 经 
不 再 使 用 的 技术 ， 如 DES 加 密 算法 等 ; 增添 了 新 技术 的 内 容 ， 如 AES 密码 、 流 密码 、 伪 己 
网 络 等 ， 使 本 书 第 2 版 于 2015 年 出 版 。 

教材 不 是 一 般 的 科技 书 ， 在 编写 过 程 中 首先 要 考虑 如 何 教 的 问题 。 为 了 更 适应 教学 ， 
第 2 版 按照 “威胁 (第 1 章 ) 一 防护 (第 2~4 章 ) 一 管理 (第 5 章 )” 的 体系 进行 组 织 。 这 
相当 于 “提出 问题 一 解决 问题 一 总 结 提高 ”的 思路 。 经 过 本 人 一 个 学 期 的 试 讲 ， 效 果 不 错 。 

本 书 第 3 版 在 第 2 版 的 基础 上 增加 了 近 两 年 内 引起 人 们 注意 的 内 容 。 


《到 


本 书 的 修订 永远 是 进行 时 。 在 本 书 第 3 版 即将 出 版 之 际 ， 衷 心地 希望 读者 和 有 关 专 家 
能 不 音 指正 ， 以 便 适 当 的 时 候 再 进一步 修订 。 

在 本 书 (包括 第 1 版 和 第 2 版 ) 的 编写 过 程 中 ， 栾 英姿 、 赵 忠孝 、 张 秋 菊 、 董 兆 军 、 
张 展 为 、 张 友 明 、 史 林 娟 、 张 展 灰 、 戴 璐 以 及 我 的 研究 生 陶 利 民 、 蒋 中 云 、 王 玉 斐 、 魏 士 
婧 、 董 瑜 参与 了 部 分 编写 工作 ， 在 此 说 表 谢意 。 

本 书 在 编写 过 程 中 还 参考 了 大 量 文献 资料 。 这 些 资料 有 的 引 自 国内 外 论文 ， 有 的 引 自 
其 他 著作 ， 有 的 引 自 网 站 。 虽 本 人 尽心 在 参考 文献 中 予以 列 出 ， 但 仍 会 有 许多 朴 漏 ， 同 时 
也 受 篇 幅 所 限 ， 未 能 将 所 有 参考 资料 一 一 列 出 。 在 此 谨 向 有 关 作者 致谢 。 
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第 1 章 信息 系统 安全 威胁 


信息 系统 安全 威胁 (thread ) 是 指 对 信息 系统 的 组 成 要 素 及 其 功能 造成 某 种 损害 的 潜在 
可 能 。 信 息 系 统 是 一 种 复杂 的 系统 ， 复 杂 系 统 会 有 很 多 的 脆弱 之 处 。 这 是 信息 系统 安全 威 
胁 的 内 因 。 信 息 系 统 也 是 现代 社会 的 重要 系统 ， 重 要 系统 往往 是 敌对 方 攻击 的 首选 目标 ; 
并 且 信息 系统 所 具有 的 神秘 性 往往 会 刺激 好 奇 者 、 好 胜 者 和 恶作剧 者 的 攻击 兴趣 。 这 是 信 
息 系 统 安 全 威胁 的 外 因 。 

从 技术 上 和 看， 信息 系统 安全 威胁 涉及 如 下 几 个 方面 : 

(1) 机 密 性 (confidentiality ) 威胁 ， 即 信息 (数据 ) 被 非法 泄露 给 那些 未 经 授权 掌握 这 
一 信息 的 实体 ， 或 被 未 经 授权 者 窃取 ; 

(2) 完整 性 (integrity ) 威胁 ， 即 信息 (数据 ) 被 未 经 授权 的 签 改 ; 

(3) 否认 性 (repudiation ) 威胁 ， 也 称 为 抵赖 性 ( denial ) 威胁 ， 即 抵赖 或 否认 已 经 完 
成 的 操作 或 承诺 。 

这 些 威胁 有 内 部 漏洞 ， 也 有 外 部 攻击 。 本 章 从 外 部 攻击 的 角度 讨论 信息 系统 的 威胁 。 
从 形式 上 看 ， 大 致 有 如 下 3 种 攻击 : 

(1) 恶意 代码 攻击 ， 包 括 病毒 、 特 洛 伊 木 马 、 蠕 虫 、 细 菌 、 陷 门 和 逻辑 炸弹 等 ; 

(2) 窃听 攻击 ， 包 括 声波 窃听 、 电 磁 波 窃听 、 光 缆 监 听 、 手 机 窃听 和 网 络 窃听 ; 

(3 ) 黑客 攻击 ， 包 括 消息 采集 攻击 、 代 码 漏洞 攻击 、 欺 骗 和 会 话 动 持 攻击 、 分 布 式 攻击 等 。 


1.1 恶意 代码 攻击 





- 般 说 来 ， 恶 意 代码 (malicious code) 或 恶意 程序 (malicious program) 是 指 一 类 特殊 
的 程序 代码 ， 它 们 通常 在 用 户 不 知晓 也 未 经 授权 的 情况 下 潜入 到 计算 机 系统 中 ， 对 系统 产 
生 不 良 影响 。 
在 信息 系统 安全 的 反复 博弈 中 ， 恶 意 代 码 不 断 花 样 翻新 ， 种 类 不 断 增 加 。 其 中 ， 最 多 见 
的 是 病毒 (virus)、 蠕 虫 (worm)、 特 洛 伊 木马 〈Trojan horse)、 细 菌 、 陷 门 〈trap doors)、 伪 
尸 〈bot) 等 。 它 们 的 区 别 主 要 是 存在 形式 、 自 繁殖 性 、 传 播 机 制 、 运 行 机 制 和 攻击 机 制 等 方 
面 。 表 1.1 为 几 种 典型 恶意 代码 的 主要 区 别 。 


表 1.1 几 种 典型 恶意 代码 的 主要 区 别 







攻击 机 制 
文件 感染 

消耗 资源 加 恶意 行为 
窃取 网 络 信息 
消耗 计算 机 资源 


运行 机 制 
自主 运行 ， 条 件 触发 
自主 运行 









文件 感染 传播 
利用 网 络 ， 主 动 传播 















1.1.1 病毒 
1. 病毒 的 概念 


在 生物 学 界 ， 病 毒 是 一 类 没有 细胞 结构 ， 但 有 遗传 、 复 制 等 生命 特征 ， 主 要 由 核酸 和 
蛋白 质 组 成 的 有 机 体 。 计算 机 病毒 (computer virus) 是 指 与 生物 界 中 的 病毒 有 极为 相似 特征 的 
程序 。 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 ， 明 确定 义 为 :“ 计 算 机 病毒 ， 
是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 、 影 响 计算 机 使 用 ， 并 
能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 

通常 ， 人 们 也 简单 地 把 计算 机 病毒 定义 为 : 利用 计算 机 软件 与 硬件 的 缺陷 ， 破 坏 计 算 
机 数据 并 影响 计算 机 正常 工作 的 一 组 指令 集 或 程序 代码 。 更 广义 地 说 ， 凡 是 能 够 引起 计算 
机 故障 ， 破 坏 计算 机 数据 的 程序 代码 都 可 称 为 计算 机 病毒 。 

2. 病毒 的 特征 

1) 非 授 权 执行 性 与 寄生 性 

一 个 正常 的 程序 是 由 用 户 调用 的 。 被 调用 时 ， 要 从 系统 获得 控制 权 ， 得 到 系统 分 配 的 
相应 资源 ， 来 实现 用 户 要 求 的 任务 。 病 毒 虽 然 具 有 正常 程序 所 具有 的 一 切 特性 ， 但 是 其 执 
行 有 具有 非 授 权 性 。 为 此 ， 它 必须 寄生 在 合法 程序 一 一 宿主 程序 中 ， 当 用 户 运 行 正 常 程序 时 ， 
病毒 伺机 取得 系统 的 控制 权 ， 先 于 正常 程序 执行 ， 并 对 用 户 呈 透明 状态 。 因 此 ， 寄 生 是 病 
毒 的 重要 特征 。 

就 目前 出 现 的 各 种 病毒 来 看 ， 病 毒 宿主 体 有 两 种 : 一 种 是 磁盘 引导 扇 区 ， 另 一 种 是 可 
执行 文件 〈.exe 或 .com)。 因 为 不 论 是 磁盘 引导 扇 区 还 是 可 执行 文件 ， 它 们 都 有 获取 执行 权 
的 可 能 ， 这 样 病毒 寄生 在 它们 的 上 面 ， 就 可 以 在 一 定 条 件 下 获得 执行 权 ， 从 而 使 病毒 得 以 
进入 计算 机 系统 ， 并 处 于 激活 状态 ， 然 后 进行 病毒 的 动态 传播 和 破坏 活动 。 

病毒 的 寄生 方式 有 两 种 : 一 种 是 替代 法 ， 另 一 种 是 链接 法 。 替 代 法 是 指 病毒 用 自己 的 
部 分 或 全 部 指令 代码 奉 代 磁盘 引导 扇 区 或 文件 中 的 全 部 或 部 分 内 容 。 链 接 法 则 是 指 病毒 将 
自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 链接 在 一 起 ， 病 毒 链接 的 位 置 可 能 在 正常 
程序 的 首部 、 尾 部 或 中 间 。 寄 生 在 磁盘 引导 扇 区 的 病毒 一 般 采 用 替代 法 ， 而 寄生 在 可 执行 
文件 中 的 病毒 一 般 采 用 链接 法 。 

对 于 寄生 在 磁盘 引导 扇 区 的 病毒 来 说 ， 病 毒 引导 程序 占有 了 原 系统 引导 程序 的 位 置 ， 
并 把 原 系 统 引 导 程序 搬移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ， 病 毒 引导 模块 就 会 自动 地 
装 入 内 存 并 获得 执行 权 ， 然 后 该 引导 程序 负责 将 病毒 代码 的 传染 模块 和 发 作 模块 装 入 内 存 
的 适当 位 置 ， 并 采取 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ， 接 着 对 这 两 个 模块 设 定 
某 种 激活 方式 ， 使 之 在 适当 的 时 候 获 得 执行 权 。 处 理 完 这些 工 作 后， 病毒 引导 模块 将 系统 
引导 模块 装 入 内 存 ， 使 系统 在 带 毒 状态 下 运行 。 对 于 寄生 在 可 执行 文件 中 的 病毒 来 说 ， 病 
毒 一 般 通 过 修改 原 有 可 执行 文件 ， 使 该 文件 一 执行 就 先 转 入 病毒 引导 模块 。 该 引导 模块 也 
完成 把 病毒 的 其 他 两 个 模块 驻 留 内 存 及 初始 化 的 工作 ， 然 后 把 执行 权 交 给 执行 文件 ， 使 系 
统 及 执行 文件 在 带 毒 的 状态 下 运行 。 














2) 传染 性 

传染 是 病毒 最 本 质 的 特征 之 一 ， 是 病毒 的 再 生机 制 。 生 物 界 的 病毒 可 以 从 一 个 生物 体 
传播 到 另 一 个 生物 体 ， 计 算 机 病毒 也 可 以 从 一 个 程序 、 部 件 或 系统 传播 到 另 一 个 程序 、 部 
件 或 系统 。 在 单机 环境 下 ， 病 毒 的 传染 基本 途径 是 通过 磁盘 引导 扇 区 、 操 作 系统 文件 或 应 
用 文件 进行 传染 ; 在 网 络 中 ， 病 毒 主要 是 通过 电子 邮件 、Web 页 面 、APP 等 特殊 文件 和 数 
据 共 享 方式 进行 传染 。 

一 般 将 传染 分 为 被 动 传染 和 主动 传染 。 通 过 网 络 传播 或 文件 复制 ， 使 病毒 由 一 个 载体 
被 携带 到 另 一 个 载体 ， 称 为 被 动 传染 。 病 毒 处 于 激活 状态 下 ， 满 足 传染 条 件 时 ， 病 毒 从 一 
个 载体 自我 复制 到 另 一 个 载体 ， 称 为 主动 传染 。 

从 传染 的 时 间 性 上 看 ， 传 染 分 为 立即 传染 和 伺机 传染 。 病 毒 代码 在 被 执行 瞬间 ， 抢 在 
宿主 程序 执行 前 感染 其 他 程序 ， 称 为 立即 传染 。 病 毒 驻 留 内 存 后 ， 当 满足 传染 条 件 时 才 感 
染 其 他 程序 ， 称 为 伺机 传染 。 

3) 潜伏 性 与 隐蔽 性 

病毒 一 旦 取得 系统 控制 权 ， 可 以 在 极 短 的 时 间 内 传染 大 量程 序 。 但 是 ， 被 感染 的 程序 
并 不 是 立即 表现 出 异常 ， 病 毒 会 潜伏 下 来 ， 等 待 时 机 发 作 。 

病毒 的 潜伏 性 依赖 于 其 隐蔽 性 。 为 了 隐蔽 ， 病 毒 通 常 非常 短小 ， 一 般 只 有 几 百 字 节 或 
上 千 字 节 ， 此 外 还 寄生 于 正常 的 程序 或 磁盘 较 隐蔽 的 地 方 ， 也 有 个 别 以 隐 含 文件 形式 存在 ， 
不 经 过 代码 分 析 很 难 被 发 觉 。 

4) 可 触发 性 

潜伏 下 来 的 病毒 一 般 要 在 一 定 的 条 件 下 才 被 激活 ， 发 起 攻击 。 病 毒 具 有 判断 这 个 条 件 
的 功能 。 下 面 列举 一 些 病毒 的 触发 (激活 ) 条件 。 

(1) 日 期 /时 间 触 发 : 病毒 读 取 系统 时 钟 ， 判 断 是 否 激 活 。 例 如 ,“ 黑 色 星 期 五 ”着 13 
日 的 星期 五 改作，CIH 1.2 于 每 年 的 4 月 26 日 发 作 ，CIH 1.3 则 在 6 月 26 日 改作 ，CIH 1.4 
的 发 作 日 期 则 为 每 个 月 的 26 日 。 

(2) 计数 器 触发 : 病毒 内 部 设 定 一 个 计数 单元 ， 对 系统 事件 进行 计数 ， 判 定 是 否 激活 。 
例如 ，2708 病毒 当 系统 启动 次 数 达 到 32 次 时 被 激活 ， 发 起 对 串 、 并 口 地 址 的 攻击 。 

(3) 键 触发 ， 当 输入 某 些 字符 时 触发 (如 AIDS 病毒 ， 在 输入 A、I、D、S 时 发 作 ) 或 
以 击 键 次 数 (如 Devil's Dance 病毒 在 用 户 第 2000 次 击 键 时 被 触发 ) 或 按键 组 合 等 为 激发 条 
件 〈 如 Invader 病毒 在 按 下 Ctrl+AlttDelete 键 时 发 作 )。 

(4) 启动 触发 :以 系统 的 启动 次 数 作为 触发 条 件 。 例 如 ，Anti Tei 和 Telecom 病毒 当 系 
统 第 400 次 启动 时 被 激活 。 

(5) 感染 触发 :以 感染 文件 个 数 、 感 染 序列 、 感 染 磁盘 数 或 感染 失败 数 作为 触发 条 件 。 
例如 ,，Black Monday 病毒 在 运行 第 240 个 染 毒 程序 时 被 激活 ; VHP2 病毒 每 感染 8 个 文件 就 
会 触发 系统 热 启动 操作 等 。 

(6) 条 件 触发 :将 多 种 条 件 综 合 使 用 ， 作 为 病毒 代码 的 触发 条 件 。 








5) 破坏 性 

破坏 性 体现 了 病毒 的 杀伤 能 力 。 大 多 数 病毒 具有 破坏 性 ， 并 且 其 破坏 方式 总 在 花样 翻 
新 。 常 见 的 病毒 破坏 性 有 以 下 几 个 方面 。 

(1) 占用 或 消耗 CPU 资源 及 内 存 空 间 ， 导 致 一 些 大 型 程序 运行 受阻 ， 系 统 性 能 下 降 。 

(2) 干扰 系统 运行 ， 例 如 不 执行 命令 、 干 扰 内 部 命令 的 执行 、 虚 发 报警 信息 、 打 不 开 
文件 、 内 部 栈 溢出 、 占 用 特殊 数据 区 、 时 钟 倒转 、 重 启动 、 死 机 、 文 件 无 法 存盘 、 文 件 存 
盘 时 丢失 字 节 、 内 存 减 小 、 格 式 化 硬盘 等 。 

(3) 攻击 CMOS。CMOS 是 保存 系统 参数 (如 系统 时 钟 、 磁 盘 类 型 、 内 存 容量 等 ) 的 
重要 场所 。 有 的 病毒 (如 CIH 病毒 ) 可 以 通过 改写 CMOS 参数 破坏 系统 硬件 的 运行 。 

(4) 攻击 系统 数据 区 。 硬 盘 的 主 引 导 记 录 、 分 区 引导 扇 区 、FAT (文件 分 配 表 )、 文 件 
目录 等 是 系统 重要 的 数据 ， 这 些 数 据 一 旦 受 损 ， 将 造成 相关 文件 的 破坏 。 

(5) 攻击 文件 。 现 在 发 现 的 病毒 中 ， 大 多 数 是 文件 型 病毒 。 这 些 病 毒 会 使 染 毒 文件 的 
长 度 、 文 件 存盘 时 间 和 日 期 发 生变 化 。 

(6) 干扰 外 部 设备 运行 ， 如 封锁 键盘 、 产 生 换 字 、 抹 掉 缓 存 区 字符 、 输 入 紊乱 、 使 屏 
幕 显示 混乱 以 及 干扰 声响 、 干 扰 打 印 机 等 。 

(7) 破坏 网 络 系统 的 正常 运行 ， 例 如 发 送 垃圾 邮件 、 占 用 带宽 ， 使 网 络 拒绝 服务 等 。 

3. 病毒 分 类 

按照 不 同 的 分 类 标准 ， 病 毒 可 以 分 为 不 同 的 类 型 ， 下 面 介 绍 几 种 常用 的 分 类 方法 。 

1) 按照 病毒 的 攻击 目标 分 类 

(1) DOS 病毒 ， 攻击 DOS 系统 。 

(2) UNIX/Linux 病毒 : 攻击 UNIX 或 Linux 系统 。 

(3) Windows 病毒 ， 攻击 Windows 系统 ， 如 CIH 病毒 。 

(4) OS/2 病毒 : 攻击 OS/2 系统 。 

(5) Macintosh 病毒 : 攻击 Macintosh 系统 ， 如 Mac.simpsons 病毒 。 

(6) 手机 病毒 。 

(7) 网 络 病毒 。 

2) 按照 病毒 的 寄生 位 置 分 类 

(1) 引导 型 病毒 。 引 导 型 病毒 是 寄生 在 磁盘 引导 区 的 病毒 。 图 1.1 显示 了 硬盘 的 逻辑 结 
构 。 可 以 看 出 ， 磁 盘 有 两 种 引导 区 : 主 引导 区 和 分 区 的 引导 区 。 因 此 也 就 有 两 种 引导 型 病 
毒 : 主 引导 区 病毒 和 分 区 引导 病毒 。 

Q@ 主 引 导 区 (Main Boot Record，MBR) 病毒 寄生 在 硬盘 主 引导 程序 所 占据 的 人 硬盘 0 
头 0 柱 面 第 1 个 扇 区 中 ， 典 型 的 病毒 有 大 麻 病毒 、2708 病毒 、 火 炬 病毒 等 。 

@ 分 区 引导 (Boot Record，BR) 病毒 寄生 在 硬盘 活动 分 区 的 逻辑 0 扇 区 ( 即 0 面 0 
道 第 1 个 扇 区 )， 典 型 的 病毒 有 Brain、 小 球 病 毒 、Girl 病毒 等 。 

(2) 文件 型 病毒 。 文 件 型 病毒 寄生 在 文件 中 ， 按 照 所 寄生 的 文件 类 型 可 以 分 为 4 类 。 

@ 可 执行 文件 病毒 ， 即 寄生 在 扩展 名 为 .com、.exe、.pe、.bat、.sys、.ovl 等 文件 的 病 



































毒 。 一旦 运行 这 类 病毒 的 载体 程序 ， 就 会 使 病 


毒 注 入 、 安 装 并 驻 留 在 内 存 中 , 伺机 进行 感染 。 [二 [ 导 记录 | 
感染 了 该 类 病毒 的 程序 往往 会 减 慢 执行 速度 ， 人 
甚至 无 法 执行 。 一 一 一 

@ 文档 文件 病毒 或 数据 文件 病毒 ， 即 寄 | 
生 在 Word 文档 、Excel 文档 、Access 数据 库 | [E055AA | 
文件 等 中 的 病毒 。 宏 病毒 Macro》 就 是 感染 [RE 
这 些 文件 的 病毒 。 

@ Web 文档 病毒 , 如 寄生 在 HTML 文档 bE 
和 HTM 文档 的 病毒 已 经 发 现 的 Web 病毒 有 一 
HTML/Prepend 和 HTML/ Redirect 等 。 

@@ 目录 文件 病毒 ， 如 DIR2 病毒 。 数据 

(3) 引导 兼 文件 型 病毒 。 这 类 病毒 在 感染 
文件 时 还 伺机 感染 引导 区 ， 例 如 CANCER 病 LL AE 
毒 、HAMMER V 病 毒 等 。 数据 

(4) CMOS 病毒 CMOS 是 保存 系统 参数 
和 配置 的 重要 地 方 , 也 存在 一 些 没有 使 用 的 空 展 引 | 扩展 分 区 表 |] 
间 。CMOS 病毒 就 隐藏 在 这 一 空间 中 ， 从 而 可 于 
以 躲避 磁盘 的 格式 化 清除 。 

3) 按照 病毒 是 否 驻 留 内 存 分 类 

(1) 非 驻 留 (nonresident) 病毒 。 非 驻 留 i 扩展 引 |[ 扩展 分 区 表 |] 
病毒 选择 磁盘 上 一 个 或 多 个 文件 , 不 等 它们 装 录 | [EECORSSAAEE 
入 内 存 ， 就 直接 进行 感染 。 [ aa | 

(2) 驻 留 (resident) 病毒 。 驻 留 病 毒 装 入 数据 
内 存 后 , 发 现 另 一 个 系统 运行 的 程序 文件 后 进 


行 传染 。 驻 留 病毒 又 可 进一步 分 为 以 下 几 种 。 
@ 高 端 驻 留 型 。 
@ 常规 驻 留 型 
@ 内 存 控制 链 驻 留 型 。 
@ 设备 程序 补丁 驻 留 型 。 
4) 按照 病毒 的 表现 形态 分 类 




















图 1.1 硬盘 的 逻辑 结构 
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(1) 多 态 病毒 。 这 种 病毒 形态 多 样 。 它 们 在 复制 之 前 会 不 断 改变 形态 以 及 自己 的 特征 
以 躲避 检测 。 例 如 ， 具 名 昭著 的 “红色 代码 ”病毒 几乎 每 天 变换 一 种 形态 。 

(2) 隐身 病毒 。 隐 身 病毒 对 所 隐身 之 处 进行 修改 ， 以 便 藏 身 。 隐 身 病 毒 分 为 两 种 情形 。 
GD 规模 修改 :病毒 隐藏 感染 一 个 程序 之 后 ， 立 即 修改 程序 的 规模 。 

@ 读 修改 : 病毒 可 以 截获 已 感染 引导 区 记录 或 文件 的 读 请 求 并 进行 修改 ， 以 便 隐藏 。 
(3) 逆 录 病毒 。 这 是 一 种 攻击 病毒 查 防 软件 的 病毒 。 逆 录 病 毒 有 3 种 攻击 方式 。 


@ 关闭 病毒 查 防 软件 。 
@ 绕 过 病毒 查 防 软件 。 
@ 破坏 完整 性 校 验 软 件 中 的 完整 性 数据 库 。 
(4) 外 过 病毒 。 这 种 病毒 为 自己 添加 一 层 保护 外 套 ， 购 过 病毒 查 防 软件 的 检测 、 跟 踪 
和 拆 外 。 
(5) 伴随 病毒 。 这 种 病毒 首先 创建 可 执行 文件 ， 并 在 此 基础 上 扩展 ， 以 便 抢先 执行 。 
(6) 噬菌体 病毒 。 这 种 病毒 用 自己 的 代码 替代 可 执行 代码 ， 可 以 破坏 接触 到 的 任何 可 
执行 程序 。 
5) 按照 病毒 的 感染 方式 分 类 
按照 感染 方式 ， 文 件 型 病毒 可 以 分 为 如 图 1.2 所 示 的 儿 种 类 型 。 
交 厅 生生 (1) 寄生 病毒 。 这 类 病毒 在 感染 的 时 候 ， 将 病毒 代码 
寄生 病毒 1 旺 疝 全 多 才 才 加 入 正常 程序 之 中 ， 原 来 程序 的 功能 部 分 或 者 全 部 被 保 
空 油 和 用 病毒 留 。 根 据 病毒 代码 加 入 的 方式 不 同 ， 寄 生病 毒 可 以 分 为 头 





文 作 型 硝 毒 | 车 玫 寄生 、 尾 寄生 、 中 间 插 入 和 空洞 利用 4 种 。 
人 和 头 寄生 是 将 病毒 代码 加 入 文件 的 头 部 。 具 体 有 两 种 方 


法 : 一 种 是 将 原来 程序 的 前 面 一 部 分 复制 到 程序 的 最 后 ， 

空 出 病毒 代码 空间 ， 另 外 一 种 是 生成 一 个 新 的 文件 ， 首 先 
在 头 的 位 置 写 上 病毒 代码 ， 然 后 将 原来 的 可 执行 文件 放 在 病毒 代码 的 后 面 。 头 寄生 方式 适 
合 于 不 需要 重新 定位 的 文件 ， 如 批 处 理 病毒 和 .com 文件 。 

尾 寄 生 是 将 病毒 代码 加 入 文件 的 尾部 ， 避 开 了 文件 重 定位 的 问题 ， 但 为 了 先 于 宿主 文 
件 执行 ， 需 要 修改 文件 头 ， 使 用 跳 转 指令 使 病毒 代码 先 执 行 。 不 过 ， 修 改 头 部 也 是 一 项 复 
杂 的 工作 。 

中 间 揪 入 是 病毒 将 自己 插入 被 感染 的 程序 中 ， 可 以 整 段 插入 ， 也 可 以 分 成 很 多 段 ， 靠 
跳 转 指令 连接 。 有 的 病毒 通过 压缩 原来 的 代码 的 方法 保持 被 感染 文件 的 大 小 不 变 。 

空洞 利用 多 用 于 视窗 环境 下 的 可 执行 文件 。 因 为 视窗 程序 的 结构 复杂 ， 其 中 都 会 有 
很 多 没有 使 用 的 部 分 ， 一 般 是 空 的 段 或 者 每 个 段 的 最 后 部 分 。 病 毒 寻找 这 些 没有 使 用 的 
部 分 ,然后 将 病毒 代码 分 散 到 其 中 ， 从 而 实现 了 难以 察觉 的 感染 (CIH 病毒 就 使 用 了 这 种 
方法 )。 

(2) 获 盖 病毒 。 编 制 这 种 病毒 的 手法 极其 简单 ， 是 初期 的 病毒 感染 技术 ， 它 仅仅 是 直 
接 用 病毒 代码 蔡 换 被 感染 程序 ， 使 被 感染 的 文件 头 变 成 病毒 代码 的 文件 头 ， 不 用 做 任何 
调整 。 

(3) 无 入 口 点 病毒 。 这 种 病毒 并 不 是 真正 没有 入 口 点 ， 只 是 在 被 感染 程序 执行 的 时 候 ， 
并 不 立刻 跳 转 到 病毒 的 代码 处 开始 执行 ， 病 毒 代码 无 声 无 息 地 潜伏 在 被 感染 的 程序 中 ， 可 
能 在 非常 偶然 的 条 件 下 才 会 被 触发 ， 开 始 执 行 。 采 用 这 种 方式 感染 的 病毒 非常 隐蔽 ， 杀 毒 
软件 很 难 发 现在 程序 的 菜 个 随机 的 部 位 有 这 样 一 些 在 程序 运行 过 程 中 会 被 执行 的 病毒 
代码 。 

大 量 的 可 执行 文件 是 使 用 C 语言 编写 的 ， 这 些 程序 有 这 样 一 个 特点 ， 程 序 中 会 使 用 一 


图 1.2 文件 型 病毒 分 类 
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些 基本 的 库 函 数 ， 比 如 字符 串 处 理 、 基 本 的 输入 输出 等 。 为 了 使 用 这 些 库 函 数 ， 编 译 器 会 
在 启动 用 户 开发 的 程序 之 前 增加 一 些 代码 对 库 进行 初始 化 。 这 给 了 病毒 一 个 机 会 ， 病 毒 可 
以 寻找 特定 的 初始 化 代码 ， 并 修改 这 段 代 码 的 开始 语句 ， 使 得 执行 完 病毒 之 后 再 执行 通常 
的 初始 化 工作 。“ 纽 克 瑞 希 尔 ” 病 毒 就 采用 了 这 种 方法 进行 感染 。 

(4) 伴随 病毒 。 这 种 病毒 不 改变 被 感染 的 文件 ， 而 是 为 被 感染 的 文件 创建 一 个 伴随 文 
件 〈 病 毒 文件 )， 这 样 当 执行 被 感染 文件 的 时 候 ， 实 际 上 执行 的 是 病毒 文件 。 

(5) 链接 病毒 。 这 类 病毒 将 自己 隐藏 在 文件 系统 的 某 个 地 方 ， 并 使 目录 区 中 文件 的 开 
始 艇 指向 病毒 代码 。 这 种 感染 方式 的 特点 是 每 一 个 逻辑 驱动 器 上 只 有 一 份 病 毒 的 副本 。 

6) 按照 病毒 的 破坏 程度 分 类 

按照 破坏 程度 可 将 病毒 分 为 以 下 几 种 类 型 。 

(1) 无 害 型 ， 除 了 传染 时 减少 磁盘 的 可 用 空间 外 ， 对 系统 没有 其 他 影响 。 

(2) 无 危险 型 这 类 病毒 仅仅 是 减少 内 存 、 显 示 古 怪 图 像 、 发 出 古怪 声音 

(3) 危险 型 : 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

(4) 非常 危险 型 ， 这 类 病毒 删除 程序 ， 破 坏 数据 ， 清 除 系统 内 存 区 和 操作 系统 中 重要 
的 信息 。 


4. 病毒 状态 


病毒 一 般 会 有 如 下 4 种 状态 。 

(1) 潜伏 。 病 毒 处 于 休眠 状态 ， 用 户 感觉 不 到 病毒 的 存在 。 不 过 ， 有 些 病毒 也 可 能 没 
有 潜伏 期 。 

(2) 感染 。 病 毒 感染 其 他 程序 。 一 般 感染 需要 一 定 的 条 件 。 

(3) 触发 。 病 毒 被 某 个 条 件 激活 ， 系 统 开 始 为 其 分 配 资源 。 

(4) 发 作 。 病 毒 开始 运行 ， 对 系统 形成 一 些 破 坏 。 


5. 病毒 的 逻辑 结构 


为 了 实现 上 述 4 种 存在 状态 间 的 变换 ,病毒 程序 需要 有 如 图 1.3 所 示 的 3 个 模块 : 引导 
模块 、 感 染 模块 和 表现 (破坏 〉 模 块 。 




















引导 模块 
1) 引导 模块 感染 模块 
Ee 
(1) 引导 模块 的 基本 功能 。 引 导 模 块 也 称 为 主 控 ee 
a 台 b Rs 
模块 ， 主 要 实现 如 下 功能 。 表现 条 件 判断 子 模块 1 表现 功能 实现 子 模块 
G@ 将 病毒 装 入 内 存 ， 使 感染 和 破坏 (表现 ) 模块 
处 于 活动 的 状态 。 图 1.3 ”病毒 的 基本 逻辑 结构 


@ 保护 内 存 中 的 病毒 代码 不 被 条 盖 。 

@ 设置 病毒 的 触发 条 件 。 

(2) 引导 过 程 如 下 。 

人 检测 运行 环境 ， 如 操作 系统 类 型 、 内 存 容量 、 现 行 区 段 、 磁 盘 设 置 和 显示 器 类 型 等 。 
@ 驻 留 内 存 。 自 身 的 程序 代码 引入 并 驻 留 在 内 存 中 。 


@@ 窃取 控制 权 。 取 代 或 扩充 系统 原 有 功能 ， 并 窃取 系统 的 控制 权 ， 设 置 病毒 的 激活 条 
件 和 触发 条 件 ， 使 病毒 处 于 可 激活 状态 ， 为 感染 模块 做 准备 《如 驻 留 内 存 、 修 改 中 断 、 修 
改 高 端 内 存 、 保 存 原 中 断 向 量 等 操作 )。 
@ 恢复 系统 功能 。 引 导 过 程 完成 之 后 ， 病毒 为 了 隐藏 自己 , 等 待 时 机 进行 感染 和 破坏 ， 
还 要 把 控制 权 交 还 给 系统 。 
(3) 病毒 代码 引导 模块 的 算法 示例 。 
BootingModule (){ 
将 病毒 代码 寄生 于 宿主 程序 中 ; 
启动 自我 保护 功能 ; 
设置 感染 条 件 ; 
设置 表现 激活 条 件 ; 
宿主 程序 加 载 时 ， 将 病毒 代码 加 载 到 内 存 ; 
上 


2) 感染 模块 

(1) 病毒 感染 标志 。 一 个 程序 感染 了 病毒 后 ， 往 往 会 携带 一 个 ASCII 码 形式 的 数字 或 
字符 串 ， 称 为 病毒 感染 标志 或 病毒 签名 。 不 同 的 病毒 ， 其 感染 标志 的 位 置 和 内 容 不 同 。 

共有 感染 标志 的 病毒 在 进行 感染 时 ， 一 般 要 查看 感染 对 象 是 否 已 经 带 有 感染 标志 ， 若 
有 ， 就 不 再 实施 感染 操作 。 杀 毒 软件 也 常常 将 感染 标志 作为 病毒 的 特征 码 之 一 。 人 们 也 会 
利用 感染 标志 实现 病毒 免疫 。 不 过 ， 病 毒 制造 者 也 会 利用 感染 标志 实施 欺骗 ， 并 且 有 一 些 
病毒 没有 感染 标志 。 

(2) 感染 模块 的 功能 。 感 染 机 制 的 作用 是 在 特定 的 感染 条 件 下 将 病毒 代码 复制 到 被 感 
染 的 目标 上 去 。 其 主要 功能 包括 3 个 方面 。 

@ 寻找 感染 目标 。 

@ 测试 感染 条 件 是 否 满足 。 

@ 实施 感染 。 

(3) 感染 模块 的 组 成 。 感 染 模块 由 以 下 两 个 子 模块 组 成 。 

@ 感染 条 件 判断 子 模块 。 依 据 引导 模块 设置 的 感染 条 件 ， 判 断 当 前 系统 环境 是 否 满足 


感染 条 件 。 
@ 感染 功能 实现 子 模块 。 当 一 个 感染 条 件 满足 时 ， 启 动感 染 功能 ， 将 病毒 代码 寄生 在 
其 他 宿主 程序 上 。 


(4) 病毒 代码 感染 模块 的 算法 示例 。 
InfectingModule (){ 
实现 感染 目标 程序 的 功能 ; 
} 
3) 表现 模块 


(1) 表现 模块 结构 。 表 现 机 制 的 作用 是 在 被 感染 系统 上 表现 出 特定 现象 ， 主 要 是 产生 
破坏 被 感染 系统 的 行为 。 大 部 分 病毒 都 是 在 一 定 条 件 下 才 会 被 触发 而 改作 。 表 现 模 块 分 为 
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两 个 子 模块 。 

@ 表现 条 件 判断 子 模块 。 依 据 引导 模块 设置 的 感染 条 件 ， 判 断 当 前 系统 环境 是 否 满足 
表现 触发 条 件 。 

@ 表现 功能 实现 子 模块 。 当 一 个 表现 条 件 满足 时 ， 启 动 病毒 代码 的 表现 功能 ， 产 生 预 
定 的 效果 。 

(2) 病毒 代码 表现 模块 的 算法 示例 。 


4) 病毒 代码 的 主 函数 算法 








6. 引导 型 病毒 解析 


如 图 1.1 所 示 , 硬盘 可 以 分 为 多 个 分 区 ， 其 中 有 一 个 主 引 导 肩 区 ,每 个 分 区 都 有 一 个 引 
导 扇 区 。 计 算 机 开始 工作 时 ， 首 先 执行 的 是 引导 程序 。 因 此 ， 引 导 扇 区 先 于 其 他 程序 获得 
对 CPU 的 控制 。 操 作 系统 对 于 引导 程序 的 辨认 ， 不 是 依据 内 容 ， 而 是 依据 地 址 ， 即 引导 程 
序 的 入 口 地 址 是 放 在 引导 扇 区 的 某 个 固定 地 方 。 这 一 特点 给 了 引导 型 病毒 一 个 机 会 : 它 可 
以 偷梁换柱 ， 将 自己 的 入 口 地 址 放 到 原来 的 引导 程序 入 口 地 址 处 。 这 样 ， 当 系统 要 装载 引 
导 程序 时 ， 实 际 是 把 一 个 引导 型 病毒 装载 到 内 存 中 。 为 了 隐蔽 自己 ， 该 病毒 程序 在 自己 进 
入 内 存 后 ， 再 把 引导 程序 装载 到 内 存 中 。 这 样 ， 病 毒 程序 就 可 以 驻 留 内 存 ， 监 视 系统 运行 ， 
伺机 传染 和 破坏 。 下 面 进一步 介绍 引导 型 病毒 的 工作 原理 。 


1) 引导 型 病毒 的 自 举 


引导 型 病毒 为 了 能 在 操作 系统 被 装 入 前 先 将 自己 装 入 ， 会 先 把 BOOT 引导 程序 搬移 到 
另外 一 个 地 方 ， 把 自己 的 引导 程序 放 在 磁盘 0 面 0 道 1 扇 区 ， 同 时 修改 INT 13H 中 断 服务 
处 理 程序 的 入 口 地址 ， 使 之 指向 病毒 引导 模块 。 这 样 ， 当 系统 启动 ROM BIOS 之 后 ， 依 托 
BIOS 中 断 服务 程序 ， 就 会 先 于 BOOT 执行 病毒 引导 程序 ， 把 病毒 代码 装 入 内 存 ， 监 视 系 统 
的 运行 ， 伺 机 感染 插入 的 其 他 磁盘 。 图 1.4 (a) 简要 描述 了 正常 DOS 自 举 过 程 ， 图 1.4 (b) 
为 带 有 病毒 的 DOS 自 举 过 程 。 





(系统 加 电 或 复位 ) (系统 加 电 或 复位 ) 
1 1 






























































进入 ROM BIOS 进入 ROM BIOS 
| 一 | 
读 引导 程序 至 内 存 引导 至 内 存 执行 病毒 引导 部 分 
0000-7CO0H 并 执行 0000-7COOH， 并 执行 并 装载 病毒 代码 
1 i i 
系统 复位 系统 复位 修改 中 断 向 量 
1 i i 
读 COMMAND.COM 读 COMMAND.COM 复制 病毒 /感染 磁盘 
到 内 存 到 内 存 
i i 
( 。 自 举 完成 ” ) ( 。 自 举 完成 。” ) 
(a) 正常 DOS 的 自 举 过 程 (b) 带 有 病毒 的 DOS 自 举 过 程 





图 1.4 引导 型 病毒 的 一 次 活动 过 程 

2) 装 入 内 存 过 程 

(1) 系统 开机 后 ， 进 入 系统 检测 ， 检 测 正常 后 ， 从 0 面 0 道 1 扇 区 〈 即 逻辑 0 扇 区 ) 
读 取 信息 到 内 存 的 0000~7C00 处 。 

正常 时 ， 逻 辑 0 肩 区 存放 的 是 BOOT 引导 程序 ， 操 作 系 统 感染 了 引导 扁 区 病毒 时 ， 由 
辑 0 扇 区 存放 的 是 病毒 引导 部 分 ，BOOT 引导 程序 被 放 到 其 他 地 方 。 例 如 ， 大 麻 病 毒 在 软 
盘 中 将 原 DOS 引导 扇 区 搬移 到 0 道 1 面 3 扇 区 , 在 硬盘 中 将 原 DOS 引导 扇 区 搬移 到 0 道 0 
面 7 扇 区 ; 香港 病毒 则 将 原 DOS 引导 扇 区 搬移 到 39 磁道 第 8 扇 区 : Michelangelo 病毒 在 高 
密度 软盘 上 是 第 27 扇 区 ， 在 硬盘 上 是 0 道 0 面 7 肩 区 。 

(2) 系统 开始 运行 病毒 引导 部 分 ， 将 病毒 的 其 他 部 分 读 入 内 存 的 某 一 安全 区 ， 常 驻 内 
存 ， 监 视 系统 的 运行 。 

(3) 病毒 修改 INT 13H 中 断 服 务 处 理 程序 的 入 口 地址 ， 使 之 指向 病毒 控制 模块 并 执行 ， 
以 便 必 要 时 接管 磁盘 操作 系统 的 控制 权 。BIOS INT 13H 调用 是 BIOS 提供 的 磁盘 基本 输入 
输出 中 断 调 用 ， 可 以 完成 磁盘 〈 包 括 硬盘 和 软盘 ) 的 复位 、 读 写 、 校 验 、 定 位 、 诊 断 、 格 
式 化 等 操作 。 它 采用 CHS 寻 址 〈 按 柱 面 、 磁 头 、 肩 区 3 个 参数 寻 址 ， 这 是 老 的 寻 址 方式 。 
新 的 寻 址 方式 是 LAB， 即 线性 寻 址 )， 最 大 访问 能 力 为 8GB 左右 。 

(4) 病毒 代码 全 部 读 入 后 ， 接 着 读 入 正常 BOOT 内 容 到 内 存 0000~7C00H 处 ， 进 行 正 
常 的 启动 过 程 〈 这 时 病毒 代码 已 经 全 部 被 读 入 内 存 ， 不 再 需要 病毒 的 引导 部 分 )。 

(5) 病毒 代码 伺机 等 待 随时 感染 新 的 系统 盘 或 非 系统 盘 。 

3) 攻击 过 程 

病毒 代码 发 现 有 可 攻击 的 对 象 后 ， 要 进行 下 列 工作 。 

(1) 将 目标 盘 的 引导 扇 区 读 入 内 存 ， 判 断 它 是 否 感 染 了 病毒 。 

(2) 满足 感染 条 件 时 ， 将 病毒 的 全 部 或 一 部 分 写 入 引导 区 ， 把 正常 的 磁盘 引导 区 程序 
写 入 磁盘 特定 位 置 。 

(3) 返回 正常 的 INT13H 中 断 服务 处 理 程序 ， 完 成 对 目标 盘 的 感染 过 程 。 








7. Win32 PE 文件 病毒 解析 


1) Win32 PE 文件 格式 

Win32 PE 文件 就 是 Win32 (Windows 95/98/2000/XP) 环境 下 的 PE 格式 的 可 执行 文件 。 
为 了 了 解 病毒 对 它 的 感染 机 理 ， 首 先 介绍 PE 文件 的 结构 和 运行 机 制 。PE 文件 的 格式 如 
图 1.5 所 示 。 

PE (Portable Executable ) 即 可 移植 的 执行 体 。 所 有 PE 文件 必须 以 一 个 具有 重 定位 功能 
的 可 执行 文件 格式 DOS MZ (MZ 是 主要 作者 Mark Zbikowski 名 字 的 缩写 ) 头 开始 。MZ 头 
中 包括 各 种 说 明 数 据 ， 如 第 一 句 可 执行 代码 执行 指令 时 所 需要 的 文件 入 口 点 、 堆 栈 的 位 置 、 
重 定位 表 等 ， 操 作 系 统 根据 文件 头 的 信息 将 代码 部 分 装 入 内 存 ， 然 后 根据 重 定位 表 修正 代 
码 ， 并 在 设置 好 堆栈 后 从 文件 头 中 指定 的 入 口 开 始 执行 。 因 此 DOS 可 以 把 程序 放 在 任何 它 
想 要 的 地 方 。 图 1.6 是 MZ 格式 的 可 执行 文件 的 简单 结构 示意 图 。 


































































































代码 调试 信息 (可 选 ) 
COFF 符 号 表 (可 选 ) 
COFF 行 号 (可 选 ) 
代码 调试 信息 (可 选 ) 
-reloc 段 
.idata 段 
.edata 段 
.data 段 
.text 段 
段 表 
数据 目录 
NT je 区 本 
文件 关 其 他 信息 MZ 文件 头 
PE\O\O0 PE 文件 标志 重 定位 表 的 字 节 偏 移 量 
DOS stub 重 定位 表 重 定位 表 
DOS MZ 头 偏 移 可 重 定位 程序 映像 二 进 制 代码 
图 1.5 PE 文件 的 格式 图 1.6 MZ 格式 的 可 执行 文件 的 简单 结构 


DOS stub 是 一 个 极 小 〈 几 百 个 字 节 ) 的 DOS 程序 ， 用 于 输出 警告 ， 如 “该 程序 不 能 在 
DOS 模式 下 运行 ”等 。 当 Win32 把 一 个 PE 文件 映像 加 载 到 内 存 时 ， 内 存 映 像 文件 的 第 一 
个 字 节 对 应 到 DOS stub 的 第 一 个 字 节 。 

PE 头 长 度 为 1024B， 是 PE 文件 的 标志 。 执 行 体 在 支持 PE 文件 的 操作 系统 中 执行 时 ， 
PE 装载 器 将 从 DOS MZ 头 中 找到 PE 头 的 偏 移 量 。 

PE 文件 的 内 容 部 分 由 一 些 称 为 段 的 块 组 成 。 每 段 是 一 块 具有 共同 属性 的 数据 。 段 数 写 
在 段 表 中 。 

2) PE 文件 的 装载 过 程 

(1) PE 文件 被 执行 时 ，PE 装载 器 检查 DOS MZ 头 中 的 PE 头 偏 移 量 ， 找 到 了 ， 就 跳 转 
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到 PE 头 。 

(2) PE 检查 器 检查 PE 头 的 有 效 性 。 若 有 效 ， 就 跳 转 到 PE 头 的 尾部 。 

(3) 读 取 段 表 信 息 ， 通 过 文件 映射 ， 将 段 映 射 到 内 存 ， 同 时 附 上 段 表 中 指定 的 段 属性 。 

(4) PE 文件 映射 到 内 存 后 ，PE 装载 器 处 理 PE 文件 中 的 有 关 罗 辑 。 

3) 重 定位 

对 于 正常 的 程序 来 说 ， 数 据 的 内 存 存储 位 置 在 编译 时 就 已 经 计算 好 了 ， 程 序 可 按照 这 
个 地 址 直接 装 入 。 而 病毒 代码 可 能 依附 在 宿主 程序 的 不 同位 置 ， 当 病毒 随 着 宿主 程序 装载 
到 内 存 后 ， 病 毒 中 数据 的 位 置 也 会 随 之 发 生变 化 。 由 于 指令 是 通过 地 址 引用 数据 的 ， 地 址 
的 不 准确 将 导致 病毒 代码 的 不 正确 执行 。 为 此 ， 有 必要 对 病毒 代码 中 的 数据 进行 重 定位 。 

4) 获取 API 函数 地 址 

在 Win32 环境 中 ， 系 统 功 能 调用 不 是 通过 中 断 实现 ， 而 是 通过 调用 API 函数 实现 。 因 
此 ， 获 取 API 函数 的 入 口 地 址 非常 重要 。 但 是 ，Win32 PE 病毒 与 普通 的 Win32 PE 程序 不 
同 。 普 通 的 Win32 PE 程序 里 有 一 个 引入 函数 表 ， 程序 通过 这 个 表 可 以 找到 代码 段 中 所 用 的 
API 函数 在 动态 链接 库 中 的 真实 地 址 。 调 用 API 函数 时 ， 可 以 通过 该 引入 函数 表 找 到 相应 
API 函数 的 真正 执行 地 址 。 但 是 ，Win32 PE 病毒 只 有 一 个 代码 段 ， 并 不 存在 引入 函数 表 ， 
因此 不 能 直接 用 真实 地 址 调用 API 函数 。 获 取 API 地 址 是 病毒 的 一 个 重要 技术 。 

5) 其 他 机 制 

(1) 搜索 日 标 文件 。 通 常 通过 API 函数 FindFirstFile 和 FindNextFile 进行 。 

(2) 内 存 文 件 映射 。 使 用 内 存 文件 映射 进行 文件 读 写 。 

(3) 感染 其 他 文件 。 

(4) 返回 到 宿主 程序 。 


8. 计算 机 病毒 防范 


1) 强化 安全 管理 ， 加 强 防 范 体系 与 规范 建设 

没有 一 个 完善 的 防范 体系 ， 一 切 防范 措施 都 将 滞后 于 病毒 的 危害 。 病 毒 防 范 制 度 是 防 
范 体系 中 每 个 主体 都 必须 遵守 的 行为 规程 。 没 有 制度 ， 防 范 体 系 就 不 可 能 很 好 地 运作 ， 就 
不 可 能 达到 预期 的 效果 。 必 须 依照 防范 体系 对 防范 制度 的 要 求 ， 结 合 实际 情况 ， 建 立 符合 
自身 特点 的 防范 制度 。 

为 了 统筹 全 国 的 病毒 防治 工作 ，2000 年 5 月 在 原 计 算 机 病毒 防治 产品 检验 中 心 的 基础 
上 成 立 了 国家 计算 机 病毒 应 急 处 理 中 心 。 国 家 计算 机 病毒 应 急 处 理 中 心 的 工作 任务 是 : 充 
分 调动 国内 防治 病毒 的 力量 ， 快 速 发 现 病毒 疫情 ， 快 速 做 出 反应 ， 快 速 处 置 ， 及 时 消除 病 
毒 ， 防 止 病毒 对 我 国 的 计算 机 网 络 和 信息 系统 造成 重大 的 破坏 ， 确 保 我 国信 息 产 业 安全 健 
康 发 展 。 

为 使 中 国 计 算 机 病毒 防治 工作 走 上 法 制 轨道 ， 国 家 于 1994 年 2 月 颁布 了 《中 华人 民 共 
和 国 计 算 机 信息 系统 安全 保护 条 例 》， 在 此 基础 上 又 颁布 了 《计算 机 病毒 防治 管理 办 法 》 
还 在 新 修订 的 《中 华人 民 共 和 国 刑法 》 中 对 故意 制造 、 传 播 病 毒 的 行为 规定 了 相应 的 处 罚 
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办 法 。 

在 一 个 具体 部 门 中 ， 也 要 建立 自己 的 行 之 有 效 的 计算 机 病毒 防治 制度 ， 并 严格 执行 。 
一 般 说 来 ， 应 当做 到 以 下 几 方 面 。 

(1) 系统 管理 员 的 口令 应 严格 管理 ， 不 使 之 泄露 ， 要 不 定期 地 予以 更 换 ， 保 护 网 络 系 
统 不 被 非法 存 取 ， 不 被 感染 上 病毒 或 遭受 破坏 。 

(2) 应 用 程序 软件 的 安装 ， 应 由 系统 管理 员 进 行 或 由 系统 管理 员 临 时 授权 进行 ， 以 保 
障 网 络 用 户 使 用 共享 资源 时 总 是 安全 无 毒 的 。 

(3) 系统 管理 员 对 网 络 内 的 共享 电子 邮件 系统 、 共 享 存储 区 域 和 用 户 卷 应 定期 进行 病 
毒 扫描 ， 发 现 异常 情况 及 时 处 理 。 条 件 许可 时 ， 还 应 在 应 用 程序 卷 中 安装 最 新 版 本 的 杀 病 
毒 软件 供用 户 使 用 。 

(4) 网 络 系统 管理 员 在 做 好 日 常 管理 事务 的 同时 ， 还 要 拟订 应 急 措施 ， 及 时 发 现 病毒 
感染 迹象 。 一 旦 出 现 病毒 传播 迹象 ， 应 立即 隔离 被 感染 的 计算 机 系统 和 网 络 ， 并 进行 处 理 ， 
而 不 应 当 带 毒 继续 工作 。 要 按照 特别 情况 清查 整个 网 络 ， 切 断 病毒 传播 的 途径 ， 保 障 正 常 
工作 的 进行 。 

(5) 对 新 购置 的 计算 机 硬 软件 系统 进行 测试 。 

(6) 单 台 计 算 机 系统 的 安全 使 用 要 采取 以 下 措施 。 

Q@ 当 在 一 台 计 算 机 中 使 用 在 其 他 计算 机 中 用 过 的 移动 存储 器 时 ， 应 当先 对 其 进行 病毒 
检测 。 

@ 对 重点 保护 的 计算 机 系统 应 做 到 专机 、 专 盘 、 专 人 、 专 用 。 

(7) 封闭 的 使 用 环境 中 是 不 会 自然 产生 病毒 代码 的 。 对 于 网 络 计算 机 系统 ， 除 了 要 首 
先 保证 自己 使 用 的 计算 机 安全 外 ， 还 应 采取 下 列 针对 网 络 的 防 杀 病 毒 措施 。 

@ 安装 网 络 服务 器 时 ， 应 保证 安装 环境 和 网 络 操作 系统 本 身 没有 感染 病毒 。 

@ 安装 网 络 服务 器 时 ， 应 将 文件 系统 划分 成 多 个 文件 卷 系统 。 一 旦 系统 卷 受 到 某 种 损 
伤 ， 导 致 服务 器 瘫痪 ， 就 可 以 通过 重 装 系 统 卷 恢复 网 络 操作 系统 ， 使 服务 器 能 马上 投入 运 
行 ， 而 装 在 共享 的 应 用 程序 卷 和 用 户 卷 内 的 程序 和 数据 文件 不 会 受到 任何 损伤 。 如 果 用 户 
卷 内 由 于 病毒 或 使 用 上 的 原因 导致 存储 空间 拥塞 时 ， 系 统 卷 不 会 受 影响 ， 不 会 导致 网 络 系 
统 运行 失常 。 这 种 划分 还 十 分 有 利于 系统 管理 员 设 置 网 络 安全 存 取 权限 ， 保 证 网 络 系 统 不 
受 病毒 感染 和 破坏 。 

@ 要 用 硬盘 启动 网 络 服务 器 ， 否 则 在 受到 引导 型 病毒 感染 和 破坏 后 ， 遭 受 损失 的 将 不 
仅仅 是 一 台 个 人 计算 机 ， 而 会 影响 整个 网 络 的 中 枢 。 

@ 在 网 络 服务 器 上 必须 安装 真正 有 效 的 防 杀 病毒 软件 ， 并 经 常 进行 升级 。 必 要 的 时 候 
还 可 以 在 网 关 、 路 由 器 上 安装 病毒 防火 墙 产 品 ， 从 网 络 出 入 口 保护 整个 网 络 不 受 病毒 的 
侵害 。 

@@ 不 随便 直接 运行 或 直接 打开 电子 函件 中 夹带 的 附件 文件 ， 不 随意 下 载 软件 ， 尤 其 是 
一 些 可 执行 文件 和 Office 文档 ; 即使 下 载 了 ， 也 要 先 用 最 新 的 防 杀 病毒 软件 进行 检查 。 

(8) 重要 数据 文件 要 有 备份 。 例 如 : 

Q 硬盘 分 区 表 、 引 导 扇 区 等 的 关键 数据 应 作 备份 并 妥善 保管 ， 以 便 在 进行 系统 维护 和 
修复 工作 时 作为 参考 。 




















@ 重要 数据 文件 定期 进行 备份 工作 ， 不 要 等 到 被 病毒 破坏 、 计 算 机 硬件 或 软件 出 现 故 
障 使 用 户 数据 受到 损伤 时 再 去 急救 。 

2) 计算 机 病毒 检测 

病毒 是 一 段 程序 代码 ， 即 使 它 隐藏 得 很 好 ， 也 会 留 下 许多 痕迹 。 通 过 对 这 些 蛛丝马迹 
的 判别 ， 发 现 病毒 的 特征 和 名 称 ， 就 称 为 查 毒 。 目 前 使 用 的 查 毒 方法 有 以 下 几 种 。 

(1) 现象 观测 法 。 现 象 观测 法 是 根据 病毒 代码 发 作 前 、 发 作 时 和 发 作 后 的 表现 现象 ， 
推断 发 现 病毒 代码 。 

(2) 进程 监视 法 。 进 程 监视 会 观察 到 系统 的 活动 状况 ， 同 时 也 会 拦截 所 有 可 疑 行为 。 
例如 ， 多 数 个 人 计算 机 的 BIOS 都 有 防 病毒 设置 ， 当 这 些 设 置 打开 时 ， 就 允许 计算 机 拦截 所 
有 对 系统 主 引 导 记 录 进 行 写 入 的 企图 。 

(3) 比较 法 。 比 较 法 是 用 原始 的 或 正常 的 文件 与 被 检测 的 文件 进行 比较 。 按 照 比较 的 
内 容 有 以 下 几 种 方法 。 

Q@ 长 度 〈 内 容 ) 比较 法 。 

@ 内 存 比较 法 。 

@ 中 断 比 较 法 。 

@ 校 验 和 比较 法 。 

比较 法 可 以 通过 感染 实验 室 法 进行 。 它 先 运行 一 些 确切 知道 不 带 毒 的 正常 程序 ， 然 后 
观察 这 些 正常 程序 的 长 度 和 校 验 和 ， 如 果 发 现 有 的 程序 增长 ， 或 者 校 验 和 有 变化 ， 就 可 以 
断定 系统 中 有 病毒 。 

(4) 特征 码 法 。 特 征 码 法 是 将 所 有 病毒 的 病毒 特征 码 加 以 剖析 ， 把 分 析 得 到 的 这 
些 病 毒 独 有 的 特征 搜集 在 一 个 病毒 特征 码 资料 库 〈 病 毒 库 ) 中 。 检 测 时 ， 以 扫描 的 方 
式 将 待 检测 程序 与 病毒 库 中 的 病毒 特征 码 一 一 对 比 ， 发现 有 相同 的 代码 ， 则 可 判定 该 
程序 已 遭 病毒 感染 。 这 种 方法 是 许多 病毒 检测 工具 的 基础 。 但 是 ， 这 种 方法 检测 不 出 未 知 
病毒 。 

(5) 软件 模拟 法 。 软 件 模拟 法 是 一 种 软件 分 析 器 ， 用 软件 方法 来 模拟 和 分 析 程 序 的 
运行 。 这 种 方法 后 来 演变 为 虚拟 机 上 进行 的 查 毒 、 启 发 式 查 毒 等 技术 ， 是 相对 成 熟 的 
技术 。 

(6) 分 析 法 。 分 析 法 是 适用 于 反 病 毒 技术 人 员 的 病毒 检测 方法 ， 分 为 静态 分 析 和 动态 
分 析 两 种 方法 。 

静态 分 析 法 是 用 DEBUG 等 反 汇 编程 序 ， 将 病毒 代码 打印 成 反 汇 编 后 的 程序 清单 进行 
分 析 ， 看 病毒 分 成 哪些 模块 ， 使 用 了 哪些 系统 调用 ， 采 用 了 哪些 技巧 ， 如 何 将 病毒 感染 文 
件 的 过 程 翻转 为 清除 病毒 、 修 复 文 件 的 过 程 ， 哪 些 代 码 可 被 用 作 特 征 代码 以 及 如 何 防御 这 
种 病毒 。 

动态 分 析 法 是 利用 DEBUG 等 调试 工具 ， 在 内 存 带 病毒 的 情况 下 对 病毒 进行 动态 跟踪 ， 
观察 病毒 的 具体 工作 过 程 ， 以 进一步 在 静态 分 析 的 基础 上 理解 病毒 工作 的 原理 。 

在 病毒 编码 比较 简单 的 情况 下 ， 动 态 分 析 不 是 必需 的 。 当 病毒 采用 了 较 多 的 技术 手段 
时 ， 必 须 使 用 动 、 静 相 结合 的 分 析 方 法 才能 完成 整个 分 析 过 程 。 
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1.1.2 蠕虫 
1. 蠕虫 及 其 特征 


1982 年 ，Xerox PARC 的 John FShoch 等 人 为 了 进行 分 布 式 计算 的 模型 实验 , 编写 了 称 
为 蠕虫 (worm) 的 程序 。 可 他 们 没有 想到 ， 这 种 “可 以 自我 复制 ”并 可 以 “从 一 台 计 算 机 
移动 到 另 一 台 计 算 机 ”的 程序 , 后 来 竞 给 计算 机 界 带 来 了 巨大 的 灾难 。1988 年 被 罗伯特 、 英 
里 斯 (Robert Morris) 释放 的 Morris 蠕虫 在 Internet 上 爆发 ， 在 几 个 小 时 之 内 迅速 感染 了 所 
能 找到 的 存在 漏洞 的 计算 机 。 如 图 1.7 所 示 , Internet 上 的 蠕虫 袭击 最 初 缓慢 地 增加 , 到 2000 
年 后 开始 呈 指 数 上 升 。 
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图 1.7 CERT (计算 机 紧急 响应 小 组 ) 统计 的 1988 一 2002 年 蠕虫 事件 的 发 生 次 数 


下 面 进一步 说 明 蠕虫 的 特点 。 

(1) 存在 的 独立 性 。 病 毒 具 有 寄生 性 ， 寄 生 在 宿主 文件 中 ， 而 蠕虫 是 独立 存在 的 程序 
个 体 。 
(2) 攻击 的 对 象 是 计算 机 。 病 毒 的 攻击 对 象 是 文件 系统 ， 而 蠕虫 的 攻击 对 象 是 计算 机 
系统 。 

(3) 传播 的 主动 性 。 蠕 虫 与 病毒 都 采用 自传 播 方式 。 感 染 型 病毒 可 以 搜索 并 感染 同一 
台 计算 机 上 能 够 访问 到 的 其 他 文件 。 但 与 病毒 不 同 的 是 ， 蠕 虫 传播 的 主动 性 非常 强 ， 它 会 
不 断 地 复制 ， 并 非常 努力 地 通过 各 种 途径 将 自身 或 变种 传播 到 其 他 计算 机 系统 中 ， 因 此 可 
能 造成 更 广泛 的 危害 。 蠕 虫 的 传播 途径 很 多 ， 如 操作 系统 漏洞 、 电 子 邮 件 、 移 动 设备 、 即 
时 通信 等 ， 也 可 以 随 网 络 攻击 传播 ， 使 人 防不胜防 。 

(4) 感染 的 反复 性 。 病 毒 与 蠕虫 都 具有 感染 性 ， 都 可 以 自我 复制 。 但 是 ， 病 毒 与 蠕虫 
的 感染 机 制 有 4 点 不 同 。 

Q 病毒 感染 是 一 个 将 病毒 代码 嵌入 到 宿主 程序 的 过 程 ， 而 蠕虫 的 感染 是 自身 的 复制 。 

@ 病毒 的 感染 目标 针对 本 地 程序 (文件 )， 而 蠕虫 是 针对 网 络 上 的 其 他 计算 机 。 

@ 病毒 是 在 宿主 程序 运行 时 被 触发 进行 感染 ， 而 蠕虫 是 通过 系统 漏洞 进行 感染 。 

@ 蠕虫 是 一 种 独立 程序 , 也 可 以 作为 病毒 的 寄生 体 , 携带 病毒 , 并 在 发 作 时 释放 病毒 ， 
进行 双重 感染 。 











(5) 行踪 的 隐蔽 性 。 由 于 蠕虫 传播 过 程 的 主动 性 ， 蠕 虫 不 需要 像 病毒 那样 由 计算 机 使 
用 者 的 操作 触发 ， 并 且 还 常常 伪装 成 有 用 的 软件 ， 因 而 难以 察觉 。 例 如 ，2011 年 9 月 5 日 ， 
首 个 QQ 群 蠕虫 (Pincav) 被 截获 。 该 蠕虫 伪装 成 电视 棒 破 解 程序 欺骗 网 民 下 载 ， 盗 取 魔 兽 、 
邮箱 及 社交 网 络 账号 ， 计 算 机 被 感染 后 ， 蠕 虫 会 自动 访问 QQ 群 共享 空间 来 进行 传播 。 其 
感染 量 每 天 约 2 万 个 。 到 了 2013 一 2014 年 间 ，QQ 群 蠕虫 升级 为 第 四 代 ， 它 们 利用 大 众 猎 
奇 心理 ， 将 其 程序 改名 为 “X X 视 频 助 手 .exe” 或 “X X 视 频 偷 看 神器 .exe” 进 行 伪装 ， 来 
吸引 网 民 点 击 。 如 果 网 民 信以为真 ， 双 击 运行 ， 蠕 虫 就 会 劫持 网 民 的 QQ， 把 推广 消息 转发 
到 QQ 和 群 共享 和 空间 说 说 ， 甚 至 发 送 病毒 邮件 给 好 友 。 该 蠕虫 的 最 终 目 的 是 在 中 毒 计算 机 
上 安装 一 大 堆 流氓 软件 以 件 取 暴 利 ; 在 Android 手机 上 则 会 弹出 全 屏 广告 , 并 在 后 台 偷偷 下 
载 色情 应 用 ， 严 重 影响 手机 的 正常 使 用 。 

(6) 破坏 的 严重 性 。 病 毒 虽 然 对 系统 性 能 有 影响 ， 但 破坏 的 主要 是 文件 系统 。 而 蠕虫 
主要 是 利用 系统 及 网 络 漏洞 影响 系统 和 网 络 性 能 ， 降 低 系统 性 能 。 例 如 ， 它 们 的 快速 复制 
以 及 在 传播 过 程 中 的 大 面积 漏洞 搜索 ， 会 造成 巨 量 的 数据 流量 ， 导 致 网 络 拥塞 甚至 次 痪 ; 
对 一 般 系统 来 说 ， 多 个 副本 形成 大 量 进程 ， 会 大 量 耗 费 系 统 资源 ， 导 致 系统 性 能 下 降 ， 对 
网 络 服 务 器 尤为 明显 。 

非但 如 此 ， 蠕 虫 通常 还 会 在 传播 的 同时 执行 一 些 其 他 的 恶意 行为 ， 以 达到 自己 的 目的 。 
例如 ，2007 年 1 月 流行 的 “熊猫 烧香 ”蠕虫 病毒 ， 利 用 微软 公司 视窗 操作 系统 的 漏洞 进行 
传播 。 计 算 机 感染 这 一 病毒 后 ， 会 不 断 自动 拨号 上 网 ， 并 利用 文件 中 的 地 址 信息 或 者 网 络 
共享 进行 传播 ， 最 终 破 坏 用 户 的 大 部 分 重要 数据 。 

里 虫 破坏 的 严重 性 造成 了 巨大 的 经 济 损失 。 例 如 : 

1988 年 11 月 2 日 ，Morris 蠕虫 改作 ， 一 夜 之 间 攻 击 了 约 6200 台 VAX 系列 小 型 机 和 
Sun 工作 站 。Purdue 大 学 Gene Spafford 估计 整个 经 济 损失 为 20 万 美元 , 而 美国 病毒 代码 协 
会 的 John McAfee 的 报告 认定 的 损失 大 约 为 9600 万 美元 。 

1998 年 爆发 的 CIH 蠕虫 在 世界 范围 内 造成 2000 万 一 8000 万 美元 的 损失 。 

1999 年 “美丽 杀手 ”蠕虫 使 政府 部 门 和 一 些 大 公司 紧急 关闭 了 网 络 服务 器 ， 经 济 损失 





超过 12 亿美 元 。 
2000 年 5 月 “ 爱 虫 ”开始 流传 ， 造 成 大 量 计算 机 感染 ， 迄 今 造成 的 损失 超过 100 亿 
美元 。 


2001 年 7 月 19 日,“ 红 色 代 码 ”(Code Red) 蠕虫 爆发 ， 几 个 小 时 内 就 攻击 了 25 万 台 
计算 机 ， 造 成 的 损失 超过 1 亿美 元 。 之 后 该 蠕虫 产生 了 威力 更 强 的 几 个 变种 ， 在 世界 范围 
内 造成 大 约 280 万 美元 的 损失 。 

2001 年 12 月 开始 流传 的 “求职 信 ” 造 成 大 量 邮 件 服 务 器 堵塞 ， 损 失 达 数 百 亿美 元 。 

2003 年 1 月 ，Sql 蠕虫 王 造成 网 络 大 面积 瘫痪 ,银行 自动 提 款 机 运行 中 断 ， 直 接 经 济 损 
失 超 过 26 亿美 元 。 

2003 年 1 月 25 日, Slammer 首次 出 现 , 其 目标 是 服务 器 , 在 10 分 钟 内 感染 了 7.5 万 台 
计算 机 ， 曾 使 整个 韩国 的 计算 机 网 络 瘫痪 了 12 小 时 ， 全 球 受 感染 的 服务 器 超过 了 50 万 台 ， 
5 天 之 内 造成 的 损失 超过 10 亿美 元 。 

2003 年 夏季 , “冲击波 ”(Blaster) 爆发 , 数 十 万 台 计 算 机 被 感染 , 给 全 球 造 成 了 20 亿 一 
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100 亿美 元 的 损失 。 

2003 年 8 月 19 日 ，Sobig 的 变种 “霸王 虫 ”爆发 ， 在 最 初 的 4 小 时 内 自身 复制 了 100 
万 次 ， 给 全 球 带 来 50 亿 一 100 亿美 元 的 损失 。 

2004 年 1 月 18 日 ,“ 贝 革 热 ”(Bagle) 爆发 ， 给 全 球 带 来 数 千 万 美元 的 损失 。 

2004 年 1 月 26 日 出 现在 网 络 上 的 MyDoom, 传播 速度 大 大 超过 了 “霸王 虫 "“ 霸 王 虫 ” 
在 传播 高 峰 期 的 记录 是 每 17 封 邮件 就 有 1 封 被 感染 ， 而 MyDoom 在 1 月 28 日 就 创下 了 每 
12 封 邮件 中 就 有 1 封 被 感染 的 记录 。 至 1 月 30 日 ， 感 染 率 在 大 客户 中 是 每 10 封 邮件 中 就 
有 1 封 被 感染 ， 在 小 客户 中 是 每 3 封 邮件 中 就 有 1 封 被 感染 。 在 2004 年 最 烧 钱 的 病毒 代码 
评比 中 ，MyDoom 称 冠 。 

2004 年 4 月 30 日 ,“ 震 荡 波 ”(Sasser) 爆发 ， 给 全 球 带 来 数 千 万 美元 的 损失 。 

2005 年 8 月 16 日，Zotob 蠕虫 及 其 数 个 变种 流行 。 

2006 年 6 月 2 日 ,“ 维 金 ” 蠕虫 (Viking) 被 截获 ， 截 至 该 年 年 底 ， 受 攻击 用 户 数量 达 
1 740 679。 

2006 年 10 月 16 日 ,“ 熊 猫 烧 香 ”( 别 名 “ 尼 姆 亚 ” 或 “武汉 男生 ”又 化 身 为 “ 金 猪 报 
喜 ”) 爆发 ， 据 中 国 国家 计算 机 网 络 应 急 处 理 中 心 估计 ， 其 造成 的 损失 超过 76 亿 元 。 

2008 年 11 月 ,“ 扫 荡 波 ” 蚂 虫 被 发 现 。 当 时 ， 它 已 经 造成 大 量 企业 用 户 局 域 网 瘫痪 ， 
数 十 万 用 户 网 络 骨 溃 。 

2008 年 年 底 ，Conficker 蠕虫 开始 传播 。 一 旦 计算 机 被 感染 ， 就 被 加 入 一 个 大 规模 的 价 
尸 网 络 ， 并 被 蠕虫 作者 控制 。 在 首次 被 检测 到 之 后 ，Conficker 已 经 感染 了 数 百 万 台 计 算 机 
和 多 个 国家 的 企业 网 络 。 

2008 年 年 底 ,“ 刻 毒 虫 ”(Kido) 开始 流行 ， 到 2010 年 已 经 成 为 感染 面积 最 大 的 蠕虫。 

2010 年 6 月 ,“ 震 网 ”(Stuxnet) 首次 被 白俄罗斯 安全 公司 VirusBlokAda 发 现 。 实 际 上 
它 的 传播 从 2009 年 6 月 开始 ， 甚 至 更 早 。 它 是 首 个 针对 工业 控制 系统 的 蠕虫 ， 也 是 已 知 的 
第 一 个 以 关键 工业 基础 设施 为 目标 的 蠕虫 。 

2017 年 5 月 12 日 ， 一 种 名 为 WannaCry (又 称 为 Wanna Decryptor) 的 蠕虫 勒索 病毒 在 
全 球 范围 大 爆发 。 当 用 户主 机 系统 被 该 勒索 软件 入 侵 后 ， 即 会 将 用 户主 机 上 的 重要 文件 ， 
如 照片 、 图 片 、 文 档 、 压 缩 包 、 音 频 、 视 频 、 可 执行 程序 等 几乎 所 有 类 型 的 文件 进行 加 密 ， 
被 加 密 的 文件 后 缀 名 被 统一 修改 为 WNCRY。 同 时 弹出 一 个 勒索 对 话 框 ， 要 求 支付 价值 相 
当 于 300 美元 的 比特 币 才 可 解锁 。 否 则 用 户 只 能 通过 重 装 操作 系统 的 方式 来 解除 勒索 行为 ， 
而 用 户 的 重要 数据 文件 不 能 直接 恢复 。 WannaCry 软件 大 小 为 3.3MB， 由 不 法 分 子 利用 NSA 
(National Security Agency， 美国 国家 安全 局 ) 泄露 的 危险 漏洞 EternalBlue (永恒 之 蓝 ) 进行 
传播 。 勒 索 病 毒 肆 虐 ， 癸 然 是 一 场 全 球 性 互联 网 灾难 。 据 当时 的 不 完全 统计 ， 在 短 短 一 周 
内 ， 至 少 150 个 国家 、30 万 名 用 户 中 招 ， 造 成 损失 达 80 亿美 元 。 事 发 后 ， 各 国立 即 采取 行 
动 ， 国 际 刑警 组 织 、 欧 洲 警察 署 、 美 国联 邦 调查 局 (FBI)、 英 国 国家 犯罪 局 等 紧急 启动 调 
查 ， 追 踪 犯 罪 者 。2017 年 5 月 13 日 晚间 ， 由 一 名 英国 研究 员 于 无 意 间 发 现 的 WannaCry 隐 
藏 开关 (Kill Switch) 域名， 意外 地 遏制 了 该 病毒 的 进一步 大 规模 扩散 。 

从 上 述 讨论 可 以 看 出 ， 蠕 虫 昌 然 与 病毒 有 些 不 同 ， 但 也 有 许多 共同 之 处 。 如 果 将 凡是 
能 够 引起 计算 机 故障 ， 破 坏 计算 机 数据 的 程序 均 统称 为 病毒 代码 ， 那 么 ， 从 这 个 意义 上 说 ,里 
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虫 也 应 当 是 一 种 病毒 。 它 以 计算 机 为 载体 ， 以 网 络 为 攻击 对 象 ， 是 通过 网 络 传播 的 恶性 病毒 。 
2. 蠕虫 代码 的 功能 结构 


一 个 蠕虫 程序 的 基本 功能 包括 传播 模块 、 隐 藏 模块 和 目的 模块 3 部 分 。 

1) 传播 模块 

传播 模块 用 于 实现 蠕虫 的 自动 入 侵 功能 。 没 有 蠕虫 的 传播 技术 ， 也 就 谈 不 上 蠕虫 技术 
了 。 传 播 模块 由 扫描 子 模块 、 攻 击 子 模块 和 复制 子 模块 组 成 。 

(1) 扫描 子 模块 负责 探测 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探 测 漏洞 的 信息 并 
收 到 成 功 的 反馈 信息 后 ， 就 会 得 到 一 个 可 传播 的 对 象 。 

一 般 说 来 ， 蠕 虫 希望 隐蔽 地 传播 ， 并 尽快 地 传播 到 更 多 的 主机 。 根 据 这 一 原则 ， 扫 描 
模块 采取 的 扫描 策略 是 : 随机 选取 一 段 IP 地 址 ， 然 后 对 这 一 地 址 段 上 的 主机 进行 扫描 。 

差 的 扫描 程序 并 不 知道 一 段 地 址 是 否 已 经 被 扫描 过 ， 只 是 随机 地 扫描 Internet， 很 有 可 
能 重复 扫描 一 个 地 址 段 。 于 是 ， 蠕 虫 传播 得 越 广 ， 网 上 的 扫描 包 越 多 ， 即 使 探测 包 很 小 ， 
但 积 少 成 多 ， 就 会 引起 严重 的 网 络 拥塞 。 

扫描 策略 改进 的 原则 是 ， 尽 量 减 少 重复 的 扫描 ， 使 扫描 发 送 的 数据 包 尽 量 少 ， 并 保证 
扫描 覆盖 尽量 大 的 范围 。 按 照 这 一 原则 ， 可 以 有 如 下 一 些 策略 。 

@ 在 网 段 的 选择 上 ， 可 以 主要 对 当前 主机 所 在 网 段 进 行 扫 描 ， 对 外 网 段 随机 选择 几 个 
小 的 全 地 址 段 进行 扫描 。 

@ 对 扫描 次 数 进行 限制 。 

@ 将 扫描 分 布 在 不 同 的 时 间 段 进行 ， 不 集中 在 某 一 时 间 内 。 

@ 针对 不 同 的 漏洞 设计 不 同 的 探测 包 , 提高 扫描 效率 。 例 如， 对 远程 缓冲 区 溢出 漏洞 ， 
通过 发 出 溢出 代码 进行 探测 。 对 Web CGI 漏洞 ， 发 出 一 个 特殊 的 HTTP 请 求 探测 。 

(2) 攻击 子 模块 按照 漏洞 攻击 步骤 自动 攻击 已 经 找到 的 攻击 对 象 ， 获 得 一 个 shell， 就 
拥有 了 对 整个 系统 的 控制 权 。 对 Windows 2000 来 说 ， 就 是 cmd.exe。 

(3) 复制 子 模块 通过 原 主 机 和 新 主机 的 交互 ， 将 蠕虫 程序 复制 到 新 主机 并 启动 ， 实 际 
上 是 一 个 文件 传输 过 程 。 

图 1.8 表明 了 蠕虫 的 工作 过 程 。 蠕 虫 首 先 随机 生成 一 个 IP 地 址 作为 要 攻击 的 对 象 ， 接 
着 对 被 攻击 的 对 象 进 行 扫描 ， 探 测 有 无 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 探测 漏洞 
的 信息 并 收 到 成 功 的 反馈 信息 后 ， 就 得 到 一 个 可 传播 的 对 象 ， 随 后 就 可 以 将 蠕虫 主体 迁移 
到 目标 主机 。 然 后 ， 蜂 虫 程序 进入 被 感染 的 系统 ， 对 目标 主机 进行 现场 处 理 。 现 场 处 理 部 
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图 1.8 蠕虫 的 工作 流程 


分 的 工作 包括 隐藏 、 信 息 搜 集 等 。 蠕 虫 入 侵 计 算 机 系统 之 后 ， 会 在 被 感染 的 计算 机 上 产生 
自己 的 多 个 副本 , 每 个 副本 启动 搜索 程序 寻找 新 的 攻击 目标 。 一 般 要 重复 上 述 过 程 m 次 (m 
为 蠕虫 产生 的 繁殖 副本 数量 ), 不 同 的 蠕虫 采取 的 IP 生成 策略 可 能 并 不 相同 , 甚至 随机 生成 。 
各 个 步骤 的 繁 简 程 度 也 不 同 ， 有 的 十 分 复杂 ， 有 的 则 非常 简单 。 

2) 隐藏 模块 


隐藏 模块 负责 在 侵入 主机 后 隐藏 蠕虫 程序 ， 防 止 被 用 户 发 现 。 

蠕虫 为 了 不 被 发 现 ， 就 要 采用 一 些 隐藏 技术 。 下 面 介绍 蠕虫 的 几 种 隐藏 手法 。 

(1) 修改 蠕虫 在 系统 中 的 进程 号 和 进程 名 称 ， 掩 盖 蠕 虫 启动 的 时 间 记 录 。 此 方法 
在 Windows 95/98 下 可 以 使 用 RegisterServiceProcess API 函数 使 得 进程 不 可 见 。 但 是 ， 
在 Windows NT/2000 下 ， 由 于 没有 这 个 函数 ， 方 法 就 要 复杂 一 些 了 : 只 能 在 psapi.dll 的 
EnumProcess API 上 设置 “钩子 ”， 建 立 一 个 虚 的 进程 查看 函数 。 

(2) 将 蠕虫 复制 到 一 个 目录 下 ， 并 更 换文 件 名 为 已 经 运行 的 服务 名 称 ， 使 任务 管理 器 
不 能 终止 蠕虫 运行 。 这 时 要 参考 ADV API32.DLL 中 的 OpenSCManagerA 和 CreateServiceA 
API 函数 。 

(3) 删除 自己 。 

在 Windows 95 系统 中 ， 可 以 采用 DeleteFile API 函数 。 

在 Windows 98/NT/2000 中 ， 只 能 在 系统 下 次 启动 时 删除 自己 。 常 用 的 方法 是 在 注册 表 
中 加 入 如 下 一 条 : 


HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RUNONCE%COMSPEC%/CDEL<PATH_TO_WORM\\ 
WORM_FILE NAME.EXE> 


应 在 尖 括 号 括 起 的 部 分 输入 蠕虫 的 路 径 和 文件 名 ; 然后 重新 启动 操作 系统 。 
3) 目的 模块 
该 模块 实现 对 计算 机 的 控制 、 监 视 或 破坏 等 功能 ， 其 核心 是 攻击 子 模块 。 
1.1.3 ”特洛伊 木马 
1. 特洛伊 木马 及 其 特征 


古 希腊 诗人 荷 马 (Homer) 在 其 史诗 《伊利 亚 特 》(The 1liaq) 中 描述 了 这 样 一 个 故事 : 
希腊 王 的 王妃 海伦 被 特洛伊 (Troy) 的 王子 掠 走 , 希腊 王 在 攻打 特洛伊 城 ( 位 于 今 土耳其 西 
北面 的 恰 纳 卡 莱 省 的 希 沙 利克 ) 时 ， 使 用 了 木马 计 (the strategy of Trojan horse)， 在 巨大 的 
木马 内 装 满 了 士兵 ， 然 后 假装 撤退 ， 把 木马 留 下 。 特 洛 伊人 把 木马 当 作战 利 品 拉 回 特洛伊 
城内 。 到 了 夜间 ， 木 马 内 的 士兵 钻 出 来 作为 内 应 ， 打 开 城 门 ， 希 腊 王 得 以 攻 下 特洛伊 城 。 
此 后 ， 人 们 就 把 特洛伊 木马 (Trojan horse) 作为 伪装 的 内 部 颠覆 者 的 代名词 。 图 1.9 为 重 造 
的 木马 与 特洛伊 遗址 。 

RFC 1244 (Request For Comments:1244) 中 ， 关 于 特洛伊 木马 程序 的 定义 是 : 特洛伊 木 
马 〈 以 下 简称 木马 ) 程序 是 一 种 恶意 程序 ， 它 能 提供 一 些 有 用 的 或 者 令 人 感 兴趣 的 功能 ; 
但 是 还 具有 用 户 不 知道 的 其 他 功能 ， 例 如 ， 在 用 户 不 知晓 的 情况 下 复制 文件 或 窃取 密码 。 
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(a) 重 造 的 木马 (b) 特洛伊 遗址 
图 1.9 重 造 的 木马 与 特洛伊 遗址 

简单 地 说 ， 凡 是 人 们 能 在 本 地 计算 机 上 操作 的 功能 ， 木 马 基本 上 都 能 实现 。 

进入 21 世纪 后 ， 木 马 已 经 成 为 恶意 程序 中 增长 较 快 的 一 种 。 金 山 毒 霸 全 球 病 毒 疫 情 监 
测 系统 的 数据 表明 ， 多 年 来 在 每 年 的 新 增 恶意 程序 中 ， 木 马 一 直 占 据 70% 左 右 ， 表 1.2 为 
2006 一 2009 年 的 数据 。 此 外 ， 木 马 的 破坏 性 大 大 增强 。2010 年 的 数据 表明 ， 新 型 木马 的 破 
坏 性 超过 传统 木马 的 10 倍 。 

表 1.2 2006 一 2009 年 金山 毒霸 全 球 病毒 疫情 监测 系统 截获 的 新 增 病毒 、 木 马 数量 


年 价 比例 (06) 
2006 | ww | » 
2007 67 
2008 56.13 


2009 20 684 223 15 223 588 73.6 


木马 是 一 种 危害 性 极 大 的 恶意 代码 。 它 执行 远程 非法 操作 者 的 指令 ， 进 行 数据 和 文件 
的 窃取 、 自 改 和 破坏 ， 释 放 病 毒 ， 以 及 使 系统 自 毁 等 任务 。 下 面 介绍 它 的 特征 。 

(1) 目的 性 和 功能 特殊 性 。 一 般 说 来 ， 每 个 木马 程序 都 赋 有 特定 的 使 命 ， 其 活动 目的 
都 比较 清楚 ， 例 如 盗号 木马 、 网 银 木马 、 下 载 木 马 等 。 木 马 的 功能 都 是 十 分 特殊 的 ， 除 了 
普通 的 文件 操作 以 外 ， 还 有 些 木马 具有 搜索 高 速 缓存 中 的 口令 、 设 置 口令 、 扫 描 目 标 计算 
机 的 耳 地址 、 进 行 键盘 记录 、 远 程 注册 表 的 操作 以 及 锁定 鼠标 等 功能 。 

(2) 非 授权 性 与 受 控 性 。 非 授权 性 是 指 木马 的 运行 不 需 由 受 攻击 系统 用 户 授权 ， 受 控 
性 是 指 木马 的 活动 大 都 是 由 攻击 者 控制 的 。 一 旦 控制 端 与 服务 器 端 建立 连接 后 ， 控 制 端 将 
窃取 用 户 密 码 ， 获 取 大 部 分 操作 权限 ， 如 修改 文件 、 修 改 注 册 表 、 重 启 或 关闭 服务 器 端 操 
作 系统 、 断 开 网 络 连接 、 控 制服 务 器 端 鼠 标 和 键盘 、 监 视 服务 器 端 桌面 操作 、 查 看 服务 器 
端 进程 等 。 这 些 权 限 不 是 用 户 授权 的 ， 而 是 木马 自己 窃取 的 。 

(3) 非 自 繁殖 性 、 非 自传 播 性 与 预 入 性 。 一 般 说 来 ， 病 毒 具 有 极 强 的 感染 性 ， 里 虫 具 
有 很 强大 的 传播 性 ， 而 木马 不 具备 繁殖 性 和 自动 感染 的 功能 ， 其 传播 是 通过 一 些 手段 植 入 
的 。 例 如 ， 可 以 在 系统 软件 和 应 用 软件 的 文件 传播 中 人 为 植 入 ， 也 可 以 在 系统 或 软件 设计 
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时 被 故意 放置 进来 。 例 如 ， 微 软 公司 曾 在 其 操作 系统 设计 时 故意 放置 了 一 个 木马 程序 ， 可 
以 将 客户 的 相关 信息 发 回 到 其 总 部 。 

(4) 欺骗 性 。 隐 藏 是 一 切 恶意 代码 的 存在 之 本 。 而 木马 为 了 获得 非 授权 的 服务 ， 还 要 
通过 欺骗 进行 隐藏 。 例 如 ， 它 们 使 用 的 是 常见 的 文件 名 或 扩展 名 ， 如 dll\win\sys\\explorer 
等 字样 ;或 者 仿制 一 些 不 易 被 人 区 别 的 文件 名 ， 如 字母 1 与 数字 1、 字 母 o 与 数字 0， 木马 
经 常 修改 基本 文件 中 的 这 些 难 以 分 辨 的 字符 ， 更 有 甚 者 干脆 借用 系统 文件 中 已 有 的 文件 名 ， 
只 不 过 将 它 保存 在 不 同 的 路 径 之 中 。 木 马 通 过 这 些 手 段 便 可 以 隐藏 自己 ， 更 重要 的 是 ， 通 
过 偷梁换柱 的 行动 ， 让 用 户 把 它 当 作 要 运行 的 软件 启动 。 有 一 类 网 购 木马 可 以 利用 多 款 银 
行 交 易 系统 接口 ， 后 台 自 动 查询 银行 卡 余额 ， 将 中 毒 网 民 银 行 卡 的 所 有 余额 一 次 窃 走 。 例 
如 ,“ 秒 余额 ”网 购 木 马 采用 的 骗术 是 : 当 网 民 在 淘宝 网 买 完 东西 ， 骗 子 说 你 的 订单 被 卡 单 
了 ， 需 要 联系 某 某 人 处 理 。 不 明 真相 的 网 民 联系 后 ， 会 被 诱导 运行 不 明 程 序 ， 这 个 程序 就 
是 网 购 木马 。 中 毒 后 ， 只 要 网 民 继续 购物 ， 就 会 造成 网 银 资 金 损失 。 

2. 特洛伊 木马 分 类 

1) 根据 攻击 动作 方式 分 类 

(1) 远程 控制 型 。 远 程控 制 型 是 木马 程序 的 主流 。 远 程控 制 就 是 在 计算 机 间 通 过 某 种 
协议 (如 TCPAP) 建立 一 个 数据 通道 。 通 道 的 一 端 发 送 命令 ， 另 一 端 解释 并 执行 该 命令 ， 
通过 该 通道 返回 信息 。 简 单 地 说 ， 就 是 采用 ClientServer (客户 机 /服务 器 ， 简 称 CS) 工 
作 模 式 。 

采用 C/S 模式 的 木马 程序 都 由 两 部 分 组 成 : 一 部 分 为 被 控 端 (通常 是 监听 端口 的 Server 
端 )， 另 一 部 分 称 为 控制 端 (通常 是 主动 发 起 连接 的 Client 端 )。 被 控 端 的 主要 任务 是 隐藏 
在 被 控 主 机 的 系统 内 部 ， 并 打开 一 个 监听 端口 ， 就 像 隐藏 在 木马 中 的 战士 等 待 着 攻击 的 时 
机 ， 当 接收 到 来 自控 制 端的 连接 请 求 后 ， 主 线程 立即 创建 一 个 子 线程 并 把 请 求 交 给 它 处 理 ， 
同时 继续 监听 其 他 的 请 求 。 控 制 端 的 任务 只 是 发 送 命令 ， 并 正确 地 接收 返回 信息 。 

这 种 类 型 的 木马 运行 起 来 非常 简单 ， 只 要 先 运 行 服务 器 端 程序 ， 同 时 获得 远程 主机 的 
IP 地 址 ， 控 制 者 就 能 任意 访问 被 控制 端的 计算 机 ， 从 而 使 远程 控制 者 在 本 地 计算 机 上 做 任 
何 想 做 的 事情 。 

(2) 信息 窃取 型 。 信 息 窃取 型 木马 的 目的 是 收集 系统 上 的 敏感 信息 ， 例 如 用 户 登 录 类 
型 、 用 户 名 、 口 令 和 密码 等 。 这 种 木马 一 般 不 需要 客户 端 ， 运 行 时 不 会 监听 端口 ， 只 悄悄 
地 在 后 台 运 行 ， 一 边 收集 敏感 信息 ， 一 边 不 断 检测 系统 的 状态 。 一 旦 发 现 系 统 已 经 连接 到 
Intemet 上 ， 就 在 受害 者 不 知情 的 情形 下 将 收集 的 信息 通过 一 些 常用 的 传输 方式 〈 如 电子 邮 
件 、ICQ、EFTP) 把 它们 发 送 到 指定 的 地 方 。 

(3) 键盘 记录 型 。 键 盘 记 录 型 木马 只 做 一 件 事情 ， 就 是 将 受害 者 的 键盘 敲 击 完整 地 记 
录 在 LOG 文件 中 。 

(4) 毁坏 型 。 毁 坏 型 木马 以 毁坏 并 删除 文件 〈 如 受害 者 计算 机 上 DLL、INI 或 EXE 格 
式 的 文件 ) 为 主要 目的 。 


2) 根据 木马 程序 的 功能 分 类 
(1) 网 络 游戏 木马 。 网 络 游戏 木马 常常 以 盗 取 网 游 账号 密码 为 目的 ， 它 通常 采用 记录 
。2]1 。 




















用 户 键盘 输入 、Hook 游戏 进程 API 函数 等 方法 获取 用 户 的 密码 和 账号 。 窃 取 到 的 信息 一 般 
通过 发 送 电子 邮件 或 向 远程 脚本 程序 提交 的 方式 发 送 给 木马 控制 者 。 

(2) 网 银 木马 。 网 银 木马 针对 网 上 交易 系统 ， 以 盗 取 用 户 的 卡号 、 密 码 甚至 安全 证 书 
为 目的 ， 常 常 造成 受害 用 户 的 惨重 损失 。 这 类 木马 控制 者 可 能 会 首先 对 某 银行 的 网 上 交易 
系统 进行 仔细 分 析 ， 然后 针对 安全 薄弱 环节 编写 病毒 程序 。 如 2004 年 的 “网 银 大 盗 ” 病 毒 ， 
在 用 户 进入 该 银行 网 银 登 录 页 面 时 ， 会 自动 把 页 面 换 成 安全 性 能 较 差 .但 依然 能 够 运转 的 
老 版 页 面 ， 然 后 记录 用 户 在 此 页 面 上 填写 的 卡号 和 密码 ;“ 网 银 大 盗 3” 利 用 招行 网 银 专业 
版 的 备份 安全 证 书 功能 ， 可 以 盗 取 安全 证 书 。 

(3) 即时 通信 软件 木马 。 常 见 的 即时 通信 类 木马 一 般 有 如 下 3 种 。 

@ 发 送 消息 型 。 这 类 木马 能 自动 发 送 含有 恶意 网 址 的 消息 ， 让 收 到 消息 的 用 户 点 击 网 
址 中 毒 ， 用 户 中 毒 后 又 会 向 更 多 好 友 发 送 病毒 消息 。 此 类 病毒 的 常用 技术 是 搜索 聊天 窗口 ， 
进而 控制 该 窗口 自动 发 送 文 本 内 容 。 发 送 消息 型 木马 常常 充当 网 游 木马 的 广告 ， 如 “武汉 
男生 2005” 木 马 可 以 通过 MSN、QQ、 微 信 等 多 种 聊天 软件 发 送 带 毒 网 址 ， 其 主要 功能 是 
盗 取 游戏 的 账号 和 密码 。 

@ 盗号 型 。 这 类 木马 的 工作 原理 和 网 游 木马 类 似 。 病 毒 作者 盗 得 他 人 账号 后 ， 可 能 偷 
帘 聊 天 记录 等 隐私 内 容 ， 或 将 账号 卖 掉 。 

@ 传播 自身 型 .这 类 木马 可 以 发 布 消息 或 文件 并 通过 QQ 聊天 软件 发 送 自 身 进行 传播 。 
具体 方法 是 搜寻 到 聊天 窗口 后 ， 对 聊天 窗口 进行 控制 ， 以 便 发 送 文件 或 消息 。 

(4) 网 页 点 击 类 木马 。 网 页 点 击 类 木马 会 恶意 模拟 用 户 点 击 广告 等 动作 ， 在 短 时 间 内 
可 以 产生 数 以 万 计 的 点 击 量 。 木 马 作者 的 编写 目的 一 般 是 为 了 赚 取 高 额 的 广告 推广 费用 。 
此 类 木马 的 技术 简单 ， 一 般 只 是 向 服务 器 发 送 HTTP GET 请 求 。 

(5) 下 载 类 木马 。 这 种 木马 程序 的 体积 一 般 很 小 ， 其 功能 是 从 网 络 上 下 载 其 他 病毒 程 
序 或 安装 广告 软件 。 由 于 体积 很 小 ， 它 们 更 容易 传播 ， 传 播 速度 也 更 快 。 通 常 功能 强大 、 
体积 也 很 大 的 后 门类 病毒 ， 如 “ 灰 蚀 子 ”"“ 黑 洞 ”等 ， 传 播 时 都 单独 编写 一 个 小 巧 的 下 载 型 
木马 ， 用 户 中 毒 后 会 把 后 门 主 程序 下 载 到 本 机 运行 。 

(6) 代理 类 木马 。 用 户 感染 代理 类 木马 后 ， 会 在 本 机 开启 HTTP、SOCKS 等 代理 服务 
功能 。 黑 客 把 受 感染 计算 机 作为 跳板 ， 以 被 感染 用 户 的 身份 进行 活动 ， 达 到 隐藏 自己 的 目的 。 

3. 木马 的 功能 与 结构 

1) 木马 的 功能 

一 般 说 来 ， 木 马 具有 如 下 一 些 功 能 。 

(1) 远程 监视 、 控 制 。 远 程 监视 和 控制 是 木马 最 主要 的 功能 ， 通 过 这 个 功能 ， 可 以 让 
黑客 就 像 使 用 自己 的 计算 机 一 样 使 用 被 种 植 了 木马 的 计算 机 。 同 时 为 了 不 引起 对 方 的 察觉 ， 
也 可 以 只 是 远程 监视 ， 则 对 方 的 一 举 一 动 都 在 黑客 的 监视 之 下 。 并 且 当 对 方 有 摄像 头 时 
还 可 以 自动 启动 摄像 头 捕捉 图 像 ， 相 当 于 监视 对 方 的 环境 。 

(2) 远程 管理 。 远 程 管理 包括 很 多 功能 ， 比 如 远程 文件 管理 、 远 程 Telnet、 远 程 注册 表 
管理 等 ， 这 些 都 是 为 了 方便 黑客 控制 主机 而 设置 的 。 

(3) 获得 并 发 送 主机 消息 。 在 客户 端 选择 被 控 服 务 器 端 ， 单 击 “ 远 程控 制 命令 ”标签 ， 
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弹出 系统 信息 ， 这 时 可 以 得 到 被 控 服务 器 端的 详细 信息 ， 然 后 将 这 些 消 息 发 送 到 客户 端 

(4) 修改 系统 注册 表 。 木 马 可 以 使 黑客 单 击 客户 端 上 的 “注册 表 编 辑 器 ”标签 ， 展 开 
远程 主机 ， 并 在 远程 主机 的 注册 表 上 进行 修改 、 添 加 、 删 除 等 一 系列 操作 。 

(5) 执行 远程 命令 。 执 行 远程 攻击 者 的 命令 。 

2) 木马 软件 的 结构 

木马 软件 一 般 由 木马 配置 程序 、 木 马 控制 程序 和 木马 程序 服务 器 端 程序 和 受 控 端 程 
序 ) 组 成 。 

(1) 木马 配置 程序 。 木 马 配 置 程序 用 于 设置 木马 程序 的 端口 号 、 触 发 条 件 和 木马 名 称 
等 ， 使 其 在 服务 器 端 隐藏 更 深 。 

(2) 木马 控制 程序 。 木 马 控制 程序 用 于 控制 远程 木马 服务 器 ， 给 服务 器 发 送 指令 ， 同 
时 接收 服务 器 传送 来 的 数据 。 

(3) 木马 程序 (服务 器 程序 )。 木 马 程序 驻 留 在 目标 系统 中 ， 非 法 获取 其 操作 权 ， 负 责 
接收 控制 指令 ， 并 根据 指令 或 配置 发 送 数据 给 控制 端 。 


4. 木马 植 入 技术 


为 了 有 效 地 工作 ， 木 马 一 般 都 采用 客户 机 /服务 器 形式 ， 即 由 攻击 者 控制 的 客户 端 程序 
和 运行 在 被 控 计算 机 端的 服务 器 程序 组 成 。 木 马 的 植 入 ， 就 是 将 木马 的 服务 器 程序 放置 到 
目标 主机 上 。 下 面 介 绍 木马 的 几 种 植 入 形式 。 

Ki 手工 放置。 手工 放置 是 比较 简单 而 常见 的 做 法 。 手 工 放置 分 为 本 地 放置 和 远程 放 
置 两 种 。 本 地 放置 就 是 直接 在 计算 机 上 进行 安装 。 远 程 放置 就 是 通过 常规 攻击 手段 使 获得 
目标 主机 的 上 传 权限 后 ， 将 木马 上 传 到 目标 计算 机 上 ， 然 后 通过 其 他 方法 使 木马 程序 运行 
起 来 。 

(2) 以 邮件 附件 的 形式 传播 。 控制 端 将 木马 改头换面 ， 然 后 将 木马 程序 添加 到 附件 中 ， 
发 送 给 收 件 人 。 

(3) 通过 OICQ 对 话 ， 利 用 文件 传送 功能 发 送 伪装 了 的 木马 程序 。 

(4) 捆绑 文件 。 这 种 伪装 手段 是 将 木马 捆绑 到 一 个 安装 程序 上 ， 当 安装 程序 运行 时 ， 
木马 在 用 户 毫 无 察觉 的 情况 下 偷偷 地 进入 了 系统 。 被 捆绑 的 文件 一 般 是 可 执行 文件 
( 即 .exe、.com 一 类 的 文件 )。 

(5) 通过 病毒 或 蠕虫 程序 传播 。 

(6) 通过 U 盘 或 光盘 传播 。 


5. 木马 隐藏 技术 
隐藏 是 一 切 恶意 代码 生存 之 本 ， 欺 骗 是 通过 伪装 来 实现 隐藏 的 一 种 技巧 。 
1) 木马 隐藏 的 一 般 策略 


(1) 隐蔽 进程 。 服 务 器 端 想 要 隐藏 木马 ， 可 以 伪 隐 藏 ， 也 可 以 真 隐藏 。 伪 隐藏 是 指 程 
序 的 进程 仍然 存在 ， 只 不 过 是 让 它 消失 在 进程 列表 里 。 真 隐藏 则 是 让 程序 彻底 消失 ， 不 以 
一 个 进程 或 者 服务 的 方式 工作 。 
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伪 隐 藏 的 方法 比较 简单 。 在 Windows 9x 系统 中 ， 只 要 把 木马 服务 器 端的 程序 注册 为 一 
个 服务 〈 在 后 台 工作 的 进程 ) 就 可 以 了 。 这 样 ， 木 马 程序 就 会 从 任务 列表 中 消失 ， 系 统 不 
再 认为 其 是 一 个 进程 , 当 按 下 Ctrl+Alt+Delete 键 的 时 候 , 也 就 看 不 到 这 个 进程 .对 于 Windows 
NT、Windows 2000 等 ， 通 过 服务 管理 器 ， 则 要 使 用 API 的 拦截 技术 ， 通 过 建立 一 个 后 台 的 
系统 钧 子 , 拦截 PSAPI 的 EnumProcessModules 等 相关 的 函数 来 实现 对 进程 和 服务 的 遍历 调 
用 的 控制 ， 当 检测 到 进程 ID (PID) 为 木马 程序 的 服务 器 端 进程 的 时 候 直 接 跳 过 ， 这 样 就 实 
现 了 进程 的 隐藏 。 

当 进 程 为 真 隐藏 的 时 候 ， 木 马 完全 融 进 了 系统 内 核 ， 因 此 就 不 把 它 做 成 一 个 应 用 程序 ， 
其 服务 器 程序 运行 之 后 ， 就 不 具备 一 般 进程 的 特征 ， 也 不 具备 服务 的 特征 。 

(2) 修改 文件 标志 或 文件 名 ， 将 木马 文件 伪装 成 图 像 、HTML、TXT、ZIP 等 文件 。 一 
般 来 说 ， 安 装 到 系统 文件 夹 中 的 木马 的 文件 名 是 固定 的 ， 因 此 只 要 根据 一 些 查 杀 木马 的 文 
章 按 图 索 怠 ， 在 系统 文件 夹 查找 特定 的 文件 ， 就 可 以 断定 中 了 什么 木马 。 所 以 现在 有 很 多 木 
马 都 允许 控制 端 自由 定制 安装 后 的 木马 文件 名 ， 这 样 用 户 就 很 难 判断 所 感染 的 木马 类 型 了 。 

(3) 定制 端口 。 很 多 老式 的 木马 端口 都 是 固定 的 ， 这 给 用 户 判 断 是 否 感 染 了 木马 带 来 
了 方便 ， 只 要 查 一 下 特定 的 端口 就 知道 感染 了 什么 木马 ， 所 以 现在 很 多 新 式 的 木马 都 加 入 
了 定制 端口 的 功能 ， 控 制 端 用 户 可 以 在 1024 一 65 535 之 间 任 选 一 个 端口 作为 木马 端口 (一 
般 不 选 1024 以 下 的 端口 )， 这 样 就 给 用 户 判断 系统 所 感染 的 木马 类 型 带 来 了 麻烦 。 

(4) 伪装 成 应 用 程序 扩展 组 件 。 将 木马 程序 写成 任何 类 型 的 文件 (如 .dll、.ocx 等 )， 
然后 挂 在 十 分 出 名 的 软件 中 ， 因 为 人 们 一 般 不 怀疑 这 些 软件 。 

(5) 错觉 欺骗 。 利 用 人 的 错觉 ， 例 如 故意 混淆 文件 名 中 的 1 (数字 ) 与 1 (L 的 小 写 )、 
0 (数字 ) 与 o (字母 ) 或 0 (字母 )。 

(6) 合并 程序 欺骗 。 合 并 程序 就 是 将 两 个 或 多 个 可 执行 文件 结合 为 一 个 文件 ， 使 这 些 
可 执行 文件 能 同时 执行 。 木 马 的 合并 欺骗 就 是 将 木马 绑 定 到 应 用 程序 中 。 

(7) 出 错 显 示 一 一 施放 烟雾 弹 。 有 一 定 木 马 知识 的 人 都 知道 ， 如 果 打 开 一 个 文件 ， 没 
有 任何 反应 ， 这 很 可 能 就 是 一 个 木马 程序 ， 为 了 能 蒙蔽 用 户 ， 有 的 木马 程序 被 点 击 时 ， 会 
弹出 一 个 错误 提示 框 ( 这 当然 是 假 的 )， 显 示 诸 如 “文件 已 破坏 ， 无 法 打开 !” 之 类 的 信息 ， 
当 用 户 信 以 为 真 时 ， 木 马 却 悄悄 侵入 了 系统 。 

2) 便于 木马 启动 的 隐藏 方式 

植 入 目标 主机 的 木马 只 有 启动 运行 ， 才 能 开启 后 门 为 攻击 者 提供 服务 。 为 了 便于 启动 ， 
可 以 将 木马 程序 隐藏 在 下 列 位 置 。 

(1) 集成 到 程序 中 。 作 为 一 种 客户 机 /服务 器 程序 ， 木 马 为 了 不 让 用 户 能 轻易 地 把 它 删 
除 ， 就 常常 集成 到 程序 里 ， 一 旦 用 户 激活 木马 程序 ， 木 马 文件 就 会 和 某 一 应 用 程序 捆绑 在 
一 起 ， 然 后 上 传 到 服务 器 端 覆盖 原文 件 ， 这 样 即使 木马 被 删除 了 ， 只 要 运行 捆绑 了 木马 的 
应 用 程序 ， 木 马 又 会 被 安装 上 去 了 。 如 果 它 绑 定 到 系统 文件 ， 那 么 每 一 次 系统 启动 均 会 启 
动 木马 。 

(2) 隐藏 在 配置 文件 中 。 利 用 配置 文件 的 特殊 作用 ， 木 马 很 容易 在 计算 机 中 运行 、 发 
作 ， 从 而 偷 宇 或 者 监视 其 他 计算 机 。 不 过 ， 这 种 方式 不 是 很 隐蔽 ， 容 易 被 发 现 。 
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(3) 潜伏 在 Win.ini 中 。Win.ini 通常 是 木马 比较 民意 的 潜伏 地 方 。 因 为 Win.ini 的 
\[windows\] 字 段 中 有 启动 命令 load= 和 run=。 在 一 般 情 况 下 = 后 面 是 空白 的 ， 这 为 木马 程序 
留 了 一 个 合适 的 隐藏 场所 。 

(4) 隐藏 在 System.ini 中 。Windows 安装 目录 下 的 System.ini 为 木马 提供 了 下 列 隐 藏 场所 。 

@ 木马 程序 可 以 接 在 System.ini 的 [boot] 字 段 的 hell=Explorerexe 后 面 。 

@ System.ini 中 的 [386Enh] 字 段 的 “driver= 路 径 \ 程 序 名 ”也 有 可 能 被 木马 所 利用 。 

@ System.ini 中 的 [mic]、[drivers]、[drivers32] 这 3 个 字段 也 是 起 到 加 载 驱动 程序 的 作 
用 ， 也 是 增添 木马 程序 的 场所 。 

(5) 隐蔽 在 Winstart.bat 中 。Winstart.bat 也 是 一 个 能 自动 被 Windows 加 载运 行 的 文件 ， 
它 多 数 情 况 下 为 应 用 程序 及 Windows 自动 生成 , 在 执行 了 Win. com 并 加 载 了 多 数 驱动 程序 
之 后 开始 执行 (这 一 点 可 通过 启动 时 按 F8 键 再 选择 逐步 跟踪 启动 过 程 的 启动 方式 得 知 )。 由 
于 autoexec.bat 的 功能 可 以 由 Winstart.bat 代替 完成 ， 因 此 木马 完全 可 以 像 在 autoexec.bat 中 
那样 被 加 载运 行 。 

(6) 捆绑 在 启动 配置 文件 中 。 黑 客 利用 应 用 程序 的 启动 配置 文件 能 启动 程序 的 特点 ， 
将 制作 好 的 带 有 木马 启动 命令 的 同名 文件 上 传 到 服务 器 端 履 盖 这 同名 文件 ， 这 样 就 可 以 达 
到 启动 木马 的 目的 了 。 

(7) 设置 在 超 链接 中 。 木 马 的 主人 在 网 页 上 放置 恶意 代码 ， 引 诱 用 户 点 击 。 

(8) 加 载 程 序 到 启动 组 。 木 马 隐藏 在 启动 组 ， 虽 然 不 是 十 分 隐蔽 ， 但 非常 便于 自动 加 
载运 行 。 常 见 的 启动 组 如 下 。 

@ “开始 ”菜单 中 的 启动 项 ,对 应 的 文件 夹 是 C:\Documents and Settings\ 用 户 名 \[ 开 始 ] 
菜单 \ 程 序 \ 启 动 。 

@ 注册 表 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ 
Run] 项 。 

@) 注册 表 [HKEY LOCAL MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ 
Run] 项 。 

(9) 注册 成 为 服务 项 。 将 服务 器 端 程序 注册 为 一 个 自 启动 的 服务 也 是 木马 常用 的 手段 ， 
其 在 注册 表 中 的 键 值 是 HKEY LOCAL _MACHINE\SYSTEM\CurrentControlSet \Services\]， 
比如 “ 灰 铝 子 ” 就 是 这 样 。 

6. 木马 的 连接 与 远程 控制 

1) 木马 的 连接 

从 连接 方法 来 分 ， 木 马 可 以 分 为 3 类 : 正 向 连接 型 、 反 向 连接 型 和 反弹 连接 型 。 

(1) 正 向 连接 型 。 这 种 类 型 的 客户 端 连接 服务 器 的 时 候 是 直接 根据 服务 器 的 卫 地址 和 
端口 来 进行 连接 ， 比 如 Penumbra。 这 种 方法 直观 、 简 单 ， 但 同时 也 存在 相应 的 缺陷 。 它 要 
求知 道 对 方 的 他 。 这 对 于 不 是 固定 IP 的 被 控 端 而 言 ,过 一 段 时 间 卫 改变 后 ， 控 制 端 就 无 法 
连接 了 。 为 了 弥补 这 个 问题 ， 一 些 正 向 连接 型 的 木马 工具 提供 了 开机 发 邮件 通知 等 方法 ， 
在 被 控 端 一 开机 时 就 把 主机 信息 通知 给 控制 端 。 但 对 于 有 防火 墙 的 主机 ， 这 种 方法 就 不 一 
定 能 成 功 ， 毕 况 防 火 墙 对 于 这 种 直接 连接 是 比较 敏感 的 。 基 于 以 上 缺陷 ， 发 展 出 了 后 面 的 
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反 向 连接 型 木马 。 

(2) 反 向 连接 型 。 在 反 向 连接 型 木马 系统 中 ， 不 再 是 由 控制 端 去 连接 被 控 端 ， 而 是 控 
制 端 自动 监听 ， 由 被 控 端 来 进行 连接 ， 例 如 “ 流 董 ”。 这 个 办 法 可 以 很 好 地 解决 正 向 连接 所 
遇 到 的 问题 , 但 这 种 方法 要 求 控制 端 有 一 个 固定 的 公 网 全。 如果 控 制 端 人 P 是 自动 分 配 的 话 ， 
过 一 段 时 间 后 耳 发 生变 化 ， 则 被 控 端 就 不 可 能 连接 到 了 。 

(3) 反弹 连接 型 。 这 种 木马 由 反 向 连接 型 发 展 而 来 ， 它 也 是 由 被 控 端 去 连接 控制 端 ， 
但 其 被 控 端 的 木马 程序 不 知道 控制 端的 IP， 而 是 知道 一 个 固定 的 网 页 文件 地 址 ， 这 个 地 址 
一 般 是 网 上 的 免费 空间 。 典 型 的 例子 就 是 “ 灰 蚀 子 ”。 

2) 木马 的 远程 控制 

木马 连接 建立 后 ， 控 制 端 端 口 和 木马 端口 之 间 将 会 出 现 一 条 通道 。 控 制 端 上 的 控制 端 
程序 可 通过 这 条 通道 与 服务 端 上 的 木马 程序 取得 联系 ， 并 通过 木马 程序 对 服务 器 端 进行 远 
程控 制 。 

(1) 窃取 密码 。 一 切 以 明文 的 形式 、* 形 式 或 缓存 在 Cache 中 的 密码 都 能 被 木马 侦 测 到 。 
此 外 很 多 木马 还 提供 击 键 记录 功能 ， 它 将 会 通过 记录 服务 器 端 每 次 击 键 的 位 置 和 动作 ， 计 
算出 输入 的 内 容 。 所 以 一 旦 有 木马 入 侵 ， 密 码 将 很 容易 被 窃取 。 

(2) 文件 操作 。 控 制 端 可 通过 远程 控制 对 服务 器 端 上 的 文件 进行 删除 、 新 建 、 修 改 、 
上 上传、 下载、 运行、 更改 属 性 等 一 系列 操作 ， 基 本 涵盖 Windows 平台 上 所 有 的 文件 操作 
功能 。 

(3) 修改 注册 表 。 控 制 端 可 任意 修改 服务 器 端 注册 表 ， 包 括 删 除 、 新 建 ， 或 修改 主键 、 
子 键 、 键 值 。 有 了 这 项 功能 ， 控 制 端 就 可 以 禁止 服务 端 U 盘 、 光 驱 的 使 用 ， 锁 住 服务 器 端 
的 注册 表 ， 将 服务 器 端 上 木马 的 触发 条 件 设 置 得 更 隐蔽 的 一 系列 高 级 操作 。 

(4) 系统 操作 。 这 项 内 容 包括 重启 或 关闭 服务 器 端 操作 系统 ， 断 开 服务 器 端 网 络 连接 ， 
控制 服务 器 端的 鼠标 和 键盘 ， 监 视 服务 器 端 桌 面 操作 ， 查 看 服务 器 端 进程 等 ， 控 制 端 甚至 
可 以 随时 给 服务 器 端 发 送信 息 。 

3) 木马 的 数据 传送 

木马 程序 的 数据 传递 方法 有 很 多 种 ， 通 常 是 靠 TCP、UDP 传输 数据 。 这 时 可 以 利用 
Winsock 与 目标 机 的 指定 端口 建立 起 连接 ， 使 用 send 和 recv 等 API 进行 数据 的 传递 ， 但 是 
这 种 方法 的 隐蔽 性 比较 差 ， 往 往 容易 被 一 些 工 具 软 件 查看 到 。 例 如 ， 在 命令 行 状态 下 使 用 
netstat 命令 ， 就 可 以 查看 到 当前 活动 的 TCP、UDP 连接 。 

4) 数据 传送 时 躲避 侦察 的 方法 

木马 常用 以 下 3 种 方法 躲避 数据 传送 时 的 侦察 。 

(1) 合并 端口 法 : 使 用 特殊 的 手段 ， 在 一 个 端口 上 同时 绑 定 两 个 TCP 或 者 UDP 连接 
(例如 80 端口 的 HITP)， 通 过 把 自己 的 木马 端口 绑 定 于 特定 的 服务 端口 〈 例 如 80 端口 的 
HTTP) 之 上 达到 隐藏 端口 的 目的 。 

(2) 修改 ICMP (Internet Control Message Protocol) 头 法 : 使 用 ICMP 进行 数据 发 送 ， 
同时 修改 ICMP 头 ， 加 入 木马 的 控制 字段 。 这 样 的 木马 具备 很 多 新 的 特点 ， 如 不 占用 端口 ， 
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使 用 户 难 以 发 觉 ， 并 可 以 穿 透 一 些 防火 墙 ， 从 而 增 大 了 防范 的 难度 。 

(3) 为 了 避免 被 发 现 ， 木 马 程序 必须 很 好 地 控制 数据 传输 量 ， 例 如 把 屏幕 画面 切 分 为 
多 个 部 分 ， 并 将 画面 存储 为 JPG 格式 ， 使 压缩 率 变 高 ， 使 数据 变 得 十 分 小 ， 甚 至 在 屏幕 没 
有 改变 的 情况 下 传送 的 数据 量 为 0。 
实验 1 判断 并 清除 木马 

1. 实验 目的 


(1) 掌握 在 TCP/IP 系统 中 判断 木马 的 方法 。 
(2) 掌握 手工 清除 常见 木马 的 基本 方法 。 


2. 查看 开放 端口 进行 木马 判断 


当前 最 常见 的 木马 是 基于 TCP/IP， 按 照 C/S 模式 工作 的 。 这 样 ， 被 种 上 木马 的 服务 器 
就 会 打开 监听 端口 等 待 连接 。 例如， 冰河 木马 的 监听 端口 是 7626，Back Orifice 2000 使 用 的 
端口 是 54320， 因 此 , 通过 查看 本 机 开放 端口 ， 就 可 以 判定 自己 的 计算 机 是 否 中 了 木马 或 其 
他 黑客 程序 。 

下 面 介 绍 儿 种 查看 开放 端口 的 方法 。 

(1) 使 用 Windows 自身 带 的 netstat 命令 。netstat 命令 是 Windows 自 带 的 运行 在 TCP/IP 
环境 的 一 个 命令 。 它 可 以 显示 并 统计 有 关连 接 和 侦 听 端口 。 其 命令 格式 如 下 : 


netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 


命令 中 各 参数 意义 如 下 。 

-a: 显示 所 有 连接 和 侦 听 端口 。 

-e: 显示 以 太 网 统计 ， 可 以 与 -s 选项 结合 使 用 。 

-n: 以 数字 格式 显示 地 址 和 端口 号 。 

-s: 显示 protocol 指定 的 协议 的 统计 ， 默 认 协 议 为 TCP、UDP、ICMP 和 卫 。 
-p: 显示 protocol 指定 的 连接 。 

-r: 显示 路 由 表 内 容 。 

interval: 重新 显示 所 选 的 统计 ， 每 次 显示 之 间 的 暂停 时 间 由 interval 设 定 。 
(2) 在 Windows 2000 下 使 用 命令 行 工具 fport。 

(3) 使 用 与 fport 功能 相同 的 图 形 界面 工具 Active Ports。 


3. 常见 木马 的 手工 清除 方法 


不 同 的 木马 根据 其 工作 原理 和 危害 有 不 同 的 手工 清除 方法 ， 这 些 方法 在 网 络 上 可 以 搜 
索 到 。 


4. 实验 准备 


(1) 上 网 搜索 一 种 可 以 查看 开放 端口 的 工具 ， 记 录 安 装 和 使 用 方法 。 
(2) 上 网 搜索 并 记录 多 种 木马 的 手工 清除 方法 。 
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5. 实验 内 容 


(1) 下 载 并 安装 一 种 查看 开放 端口 的 软件 。 
(2) 用 下 载 的 软件 查看 自己 的 计算 机 的 端口 。 
(3) 记录 查看 软件 的 显示 内 容 。 

(4) 对 所 发 现 的 木马 进行 手工 清除 。 


6. 推荐 的 分 析 讨 论 内 容 


(1) 你 遇 到 过 哪些 木马 ? 它们 有 哪些 危害 ? 
(2) 你 使 用 过 哪 几 种 端口 查看 命令 或 软件 ? 它们 各 有 什么 特点 ? 
(3) 其 他 发 现 或 想到 的 问题 。 


1.1.4” 陷 门 与 黑客 攻击 
1. 陷 门 及 其 特征 


陷 门 (trap doors) 也 称 为 后 门 ， 是 一 种 操作 系统 的 无 口令 入 口 ， 由 一 段 程序 实现 ， 通 
常 是 系统 开发 者 为 调试 、 测 试 、 维 修 而 设置 的 简便 入 口 ， 操 作 系统 提供 的 调试 器 (debug)、 
向 导 〈wizard) 以 及 daemon 软件 ， 都 有 可 能 被 攻击 者 利用 进入 系统 ， 有些 则 是 入 侵 者 在 完 
成 入 侵 目 标 后 ， 为 了 能 够 继续 保持 对 系统 的 访问 特权 挖空心思 设计 的 ， 形 成 隐蔽 的 信道 监 
视 系 统 运 行 或 伺机 对 系统 发 起 攻击 。 所 以 陷 门 可 以 看 作 人 为 漏洞 。 

陷 门 一 般 有 如 下 一 些 技术 或 功能 特征 。 

(1) 陷 门 通常 寄生 于 某 些 程序 (有 宿主 )， 但 无 自我 复制 功能 。 

(2) 隐 门 可 以 在 系统 管理 员 采 取 了 增强 系统 安全 措施 (如 改变 所 有 密码 ) 的 情况 下 ， 
照样 进入 系统 。 

(3) 陷 门 可 以 使 攻击 者 以 最 短 的 时 间 再 次 进入 系统 ， 而 不 是 重新 挖掘 漏洞 。 

(4) 许多 陷 门 可 以 绕 过 注册 直接 进入 系统 ， 或 者 帮助 攻击 者 隐藏 其 在 系统 中 的 一 举 一 动 。 

(5) 陷 门 可 以 把 再 次 入 侵 被 发 现 的 可 能 性 降 至 最 低 。 

2. 陷 门 分 类 

1) 账户 与 注册 陷 门 

(1) Login 陷 门 。 在 UNIX 中 ，Login 程序 常用 来 对 通过 远程 登录 来 的 用 户 进行 口令 验 
证 。 入 侵 者 获取 Login 的 源 代码 并 修改 ,使 它 在 比较 输入 口令 与 存储 口令 时 先 检查 陷 门 口令 。 
当 入 侵 者 输入 陷 门口 令 后 ，Login 程序 将 忽视 管理 员 设 置 的 口令 而 让 入 侵 者 长 驱 直 入 。 使 用 
这 种 方法 ， 入 侵 者 可 以 进入 任何 账号 ， 甚 至 是 root 目录 。 

(2) 密码 破解 陷 门 。 这 是 入 侵 者 使 用 的 最 老 的 方法 。 通 常 ， 入 侵 者 寻找 口令 薄弱 的 未 
被 使 用 的 账号 进行 破解 ， 之 后 将 口令 改 得 难 一 些 ， 形 成 一 些 新 账号 。 这 些 新 账号 将 成 为 重 
新 侵入 的 后 门 。 当 管理 员 寻 找 口令 薄弱 的 账号 时 ， 也 不 会 发 现 这 些 密码 已 修改 的 账号 。 因 
而 管理 员 很 难 确定 查封 哪个 账号 。 

(3) 超级 账户 陷 门 。 超 级 账户 (Administrator，Admin)〉 是 系统 安全 的 宝贵 资源 。 入 侵 
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者 一 旦 可 以 创建 这 样 的 账号 ， 就 可 以 拥有 很 大 的 权力 。 在 Windows NT/2000 上 可 以 使 用 下 
面 的 命令 创建 本 地 特权 账号 : 


net user <username> <password>/RDD 
net localgroup <groupname> <username>/ADD 


在 UNIX 下 , 在 口令 文件 中 增加 一 个 UID 为 0 的 账户 ,是 创建 超级 账户 的 最 简单 方法 。 

(4) mosts++ 陷 门 。 在 联网 的 UNIX 机 器 中 ， 像 Rsh 和 Rlogin 这 样 的 服务 是 基于 rhosts 
的 。 入 侵 者 只 要 向 可 以 访问 的 用 户 的 rhosts 文件 中 输入 ++， 就 可 以 允许 任何 人 从 任何 地 方 
进入 这 个 账户 。 这 些 账 户 也 成 了 入 侵 者 再 次 侵入 的 陷 门 。 

2) 通信 与 连接 陷 门 

(1) 网 络 通信 陷 门 。 入 侵 者 不 仅 想 隐 匿 在 系统 里 的 痕迹 ， 而 且 也 要 隐匿 他 们 的 网 络 通 
信 后 门 。 这 些 网 络 通信 后 门 有 时 允许 入 侵 者 通过 防火 墙 进行 访问 。 有 许多 网 络 后 门 程序 允 
许 入 侵 者 建立 某 个 端口 号 ， 并 且 不 通过 普通 服务 就 能 实现 访问 。 因 为 这 是 通过 非 标准 网 络 
端口 的 通信 ， 管 理 员 可 能 忽视 入 侵 者 的 足迹 。 这 种 后 门 通常 使 用 ICP、UDP 和 ICMP， 但 也 
可 能 是 其 他 类 型 的 报 文 。 

(2) TCP Shell 陷 门 。TCP Shell 陷 门 建立 在 防火 墙 没 有 阻塞 的 高 位 TCP 端口 ， 例 如 ， 
可 能 建立 在 SMTP 端口 ， 因 为 很 多 防火 墙 允许 E-mail 通过 。TCP Shell 后 门 可 以 让 入 侵 者 躲 
过 TCP Wrapper 技术 。 这 些 端口 在 许多 情况 下 受 口令 保护 ， 以 防 管理 员 连 接 后 察觉 。 

(3) UDP Shell 陷 门 。UDP 是 无 连接 的 ， 管 理 员 不 会 像 观察 TCP 连接 的 怪异 情况 那样 
发 现 它 , 因而 不 能 用 netstat 显示 入 侵 者 的 访问 痕迹 。 所 以 入 侵 者 通常 将 UDP Shell 后 门 放置 
在 DNS 端口 ， 因 为 许多 防火 墙 设置 成 允许 类 似 DNS 的 UDP 报 文 的 通行 。 

(4) ICMP Shell 陷 门 。 由 于 许多 防火 墙 允许 外 部 ping 内 部 的 主机 ， 所 以 入 侵 者 可 以 将 
数据 放 入 ping 的 ICMP 包 ， 在 ping 的 主机 间 形 成 一 个 Shell 通道 。 昌 然 管理 员 也 许 会 注意 
到 ping 包 ， 但 他 不 查看 包 内 数据 就 不 会 了 解 哪 些 是 入 侵 者 的 数据 包 。 

(5) Telnet 陷 门 。 当 用 户 通过 Telnet 连接 到 系统 后 ， 监 听 端 口 的 inetd 服务 会 接受 连接 
并 传递 给 in.telnetd， 由 它 运行 login。 一 些 入 侵 者 知道 管理 员 会 检查 login 是 否 被 修改 ， 就 着 
手 修改 in.telnetd。 在 in.telnetd 内 部 有 一 些 对 用 户 信息 的 检验 ， 比 如 用 户 使 用 了 何 种 终端 。 
入 侵 者 可 以 对 某 些 服务 做 这 样 的 后 门 ， 对 来 自 特定 源 端口 的 连接 产生 一 个 不 要 任何 验证 的 
Shell。 

(6) 校 验 和 及 时 间 截 陷 门 。 早 期 ， 许 多 入 侵 者 用 自己 的 木马 程序 替代 二 进 制 文件 ， 系 
统管 理 员 便 依 靠 时 间 戳 和 系统 校 验 和 的 程序 辨别 一 个 二 进 制 文件 是 否 已 被 改变 ， 如 UNIX 
里 的 sum 程序 。 为 此 ， 入 侵 者 又 开发 了 使 木马 文件 和 原文 件 时间 戳 同步 的 新 技术 。 这 种 技 
术 是 这 样 实现 的 : 先 将 系统 时 钟 拨 回 到 原文 件 时 间 ， 然 后 调整 木马 文件 的 时 间 为 系统 时 间 。 
一 旦 二 进 制 木 马 文件 与 原文 件 精 确 同步 ,就 可 以 把 系统 时 间 设 回 当前 时 间 。 例如 ，sum 程序 
是 基于 CRC 校 验 的 ， 很 容易 骗 过 。 另 外 ， 入 侵 者 设计 出 了 可 以 将 木马 的 校 验 和 调整 到 原文 
件 的 校 验 和 的 程序 。 不 过 ，MD5 ( 见 第 2.2.3 节 ) 是 被 大 多 数 人 推荐 的 ，MD5 使 用 的 算法 
目前 还 没 人 能 骗 过 。 
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3) 隐匿 陷 门 

(1) 隐匿 进程 陷 门 。 入 侵 者 通常 想 隐匿 他 们 运行 的 程序 。 这 样 的 程序 一 般 是 口令 破解 
程序 和 监听 程序 (sniffsr)。 有 许多 办 法 可 以 实现 他 们 的 目的 ， 较 通用 的 有 以 下 几 种 方法 。 

@ 编写 程序 时 修改 自己 的 argv， 使 它 看 起 来 像 其 他 进程 名 。 

@ 将 监听 程序 改名 再 执行 。 

@ 修改 库 函 数 致使 ps 不 能 显示 所 有 进程 。 

@ 将 一 个 后 门 或 程序 嵌入 中 断 驱 动 程序 ， 使 它 不 会 在 进程 表 中 显现 。 

(2) 文件 系统 陷 门 。 入 侵 者 常 要 在 服务 器 上 存储 他 们 的 掠夺 品 或 数据 ， 不 希望 被 管理 
员 发 现 。 入 侵 者 的 文件 一 般 有 exploit 脚本 工具 、 陷 门 集 、sniffer 日 志 、E-mail 的 备份 和 源 
代码 等 。 为 了 防止 管理 员 发 现 这 些 文件 ， 入 侵 者 需要 修补 ls、du 和 fsck 以 隐匿 特定 的 目录 
和 文件 。 在 很 低 的 级 别 ， 入 侵 者 制作 这 样 的 漏洞 : ”以 专 有 的 格式 在 硬盘 上 隔 出 一 部 分 ， 且 
表示 为 坏 的 扇 区 ， 使 管理 人 员 难 发 现 这 些 “ 坏 扇 区 ”里 的 文件 。 

(3) 共享 库 陷 门 。 儿 乎 所 有 的 UNIX 系统 都 使 用 共享 库 ， 并 且 管 理 员 很 少 检查 这 些 库 ， 
因此 一 些 入 侵 者 在 cryptc 和 _crypt.c 等 函数 里 做 了 陷 门 。 

(4) Cronjob 陷 门 。UNIX 上 的 Cronjob 可 以 按时 间 表 调度 特定 程序 的 运行 。 例 如 ， 入 
侵 者 可 以 加 入 陷 门 Shell 程序 ， 使 它 在 深夜 1 一 2 点 运行 。 那 么 每 晚 有 一 个 小 时 可 以 获得 访 
问 ， 也 可 以 查看 Cronjob 中 经 常 运行 的 合法 程序 ， 同 时 植 入 后 门 。 

(5) 内 核 陷 门 。 内 核 陷 门 可 以 使 库 躲 过 高 级 校 验 ， 甚 至 连 静 态 连接 也 大 多 不 能 识别 。 

(6) Boot 块 陷 门 。 一 些 入 侵 者 将 一 些 陷 门 留 在 根 区 ， 因 为 在 UNIX 下 多 数 管理 员 不 检 
查 根 区 的 软件 。 

(7) 网 络 服务 陷 门 。 网 络 服务 陷 门 是 以 服务 方式 启动 陷 门 或 把 陷 门 放置 在 服务 程序 有 
关 的 文件 中 。 例如 在 Windows NT 中 ,可 以 采用 以 服务 方式 启动 陷 门 程序 ,使 陷 门 随 系统 运 
行 而 自动 启动 。 这 样 会 给 攻击 者 带 来 手工 不 易 删除 和 隐藏 性 好 的 好 处 。 在 UNIX 中 ， 由 于 
系统 管理 员 在 一 般 情况 下 不 经 常 检查 超级 服务 器 守护 进程 (inetd)， 因 此 这 些 配置 文件 就 成 
为 放置 陷 门 的 好 地 方 。 


3. 一 些 常见 陷 门 工具 


下 面 是 黑客 常用 的 创建 陷 门 的 工具 。 

GD rootkit、 cron、 at、 secadmin、Invisible Keystoke、remove.exe、rc (UNIX)。 
@ Windows 启动 文件 夹 。 

@®@ sub7 (http:/www.sub7.net)。 

由 Netcat (http://www.atstake.com/research/tools )。 

© VNC (http://www.alvnc.com)。 

©@ BO2K (http://www.sourceforge.net/projects/bo2k)。 


4. 黑客 及 其 攻击 过 程 


“黑客 ”一 词 是 对 于 网 络 攻击 者 的 统称 。 一 般 说 来 ， 黑 客 是 一 个 精通 计算 机 技术 的 特殊 
群体 。 从 攻击 的 动机 看 ， 可 以 把 黑客 分 为 3 类 : 一 类 称 为 “侠客 ”(Hacker)， 他 们 多 是 好 奇 
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者 和 爱 出 风头 者 ;一 类 称 为 “ 骇 客 ”(Crackers)， 他 们 是 一 些 不 负责 的 恶作剧 者 ;一 类 称 为 
“入 侵 者 ”(Intruder)， 他 们 是 有 目的 的 破坏 者 。 随 着 Internet 的 普及 ， 黑 客 的 活动 日 益 猩 狐 ， 
对 社会 造成 巨大 损失 。 

黑客 进行 网 络 信息 系统 攻击 的 主要 工作 流程 是 : 收集 情报 、 远 程 攻击 、 远 程 登录 、 取 
得 权限 、 留 下 后 门 、 清 除 日 志 ， 主 要 内 容 包 括 目标 分 析 、 文 档 获取 、 破 解密 码 、 日 志清 除 
等 。 这 些 内 容 都 包括 在 黑客 攻击 的 3 个 阶段 一 一 准备 阶段 、 实 施 阶段 和 善后 阶段 中 。 

1) 攻击 的 准备 阶段 

(1) 确定 目的 。 一 般 说 来 ， 入 侵 者 进行 攻击 的 目的 主要 有 3 种 类 型 : 破坏 型 、 获 取 型 
和 恶作剧 型 。 破 坏 型 攻击 指 破坏 攻击 目标 ， 使 其 不 能 正常 工作 ， 主 要 的 手段 是 拒绝 服务 攻 
击 (DoS)。 获 取 型 主要 是 窃取 有 关 信息 ， 或 获取 不 法 利益 。 恶 作 剧 型 则 是 进来 多 多 ， 以 显 
示 自 己 的 能 耐 。 目 的 不 同 ， 所 采用 的 手段 就 不 同 。 

(2) 踩点 ， 即 寻找 目标 。 

(3) 查 点 。 搜 索 目标 上 的 用 户 、 用 户 组 名 、 路 由 表 、SNMP 信息 、 共 享 资 源 、 服 务 程 
序 及 旗 标 等 信息 。 

(4) 扫描 。 自 动 检测 计算 机 网 络 系统 在 安全 方面 存在 的 可 能 被 黑客 利用 的 脆弱 点 。 

(5) 模拟 攻击 。 进 行 模拟 攻击 ， 测 试 对 方 反应 ， 找 出 毁灭 入 侵 证 据 的 方法 。 

2) 攻击 的 实施 阶段 

(1) 获取 权限 。 获 取 权限 往往 是 利用 漏洞 进行 的 。 系 统 漏 洞 分 为 远程 漏洞 和 本 地 漏洞 
两 种 ， 远 程 漏洞 是 指 黑客 可 以 在 别 的 主机 上 直接 利用 该 漏洞 进行 攻击 并 获取 一 定 的 权限 。 
这 种 漏洞 的 威胁 性 相当 大 ， 黑 客 的 攻击 一 般 都 是 从 远程 漏洞 开始 的 。 但 是 利用 远程 漏洞 获 
取 的 不 一 定 是 最 高 权限 ， 而 往往 只 是 一 个 普通 用 户 的 权限 ， 这 样 常常 没有 办 法 做 黑客 们 想 
要 做 的 事 。 这 时 就 需要 配合 本 地 漏洞 来 把 获得 的 权限 进行 扩大 ， 常 常 是 扩大 至 系统 的 管理 
员 权限 。 

(2) 权限 提升 。 有 时 获得 了 一 般 用 户 的 权限 就 足以 达到 修改 主页 等 目的 了 ， 但 只 有 获 
得 了 最 高 的 管理 员 权限 之 后 ， 才 可 以 做 诸如 网 络 监听 、 清 理 痕迹 之 类 的 事情 。 要 完成 权 
限 的 扩大 ， 不 但 可 以 利用 已 获得 的 权限 在 系统 上 执行 利用 本 地 漏洞 的 程序 ， 还 可 以 放 一 些 
木马 之 类 的 欺骗 程序 来 套 取 管 理 员 密码 ， 这 种 木马 是 放 在 本 地 套 取 最 高 权限 用 的 ， 而 不 能 
进行 远程 控制 。 

(3) 实施 攻击 。 如 对 一 些 敏感 数据 的 算 改 、 添 加 、 删 除 和 复制 ， 以 及 对 敏感 数据 的 分 
析 ， 或 者 使 系统 无 法 正常 工作 。 

3) 攻击 的 善后 工作 

(1) 修改 日 志 。 如 果 攻 击 者 完成 攻击 后 就 立刻 离开 系统 而 不 做 任何 善后 工作 ， 那 么 他 
的 行踪 将 很 快 被 系统 管理 员 发 现 ， 因 为 所 有 的 网 络 操作 系统 一 般 都 提供 日 志 记录 功能 ， 会 
把 系统 上 发 生 的 动作 记录 下 来 。 为 了 自身 的 隐蔽 性 ， 黑 客 一 般 都 会 抹 掉 自己 在 日 志 中 留 下 
的 痕迹 。 为 了 能 抹 掉 痕迹 ， 攻 击 者 要 知道 常见 的 操作 系统 的 日 志 结构 以 及 工作 方式 。 

(2) 设置 后 门 。 一 般 黑客 都 会 在 攻 入 系统 后 不 止 一 次 地 进入 该 系统 。 为 了 下 次 再 进入 
系统 时 方便 一 点 ， 黑 客 会 留 下 一 个 后 门 ， 特 洛 伊 木马 就 是 后 门 的 最 好 范例 。 
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(3) 进一步 隐匿 。 只 修改 日 志 是 不 够 的 ， 因 为 百 密 必 有 一 朴 ， 即 使 自 认 为 修改 了 所 有 
的 日 志 ， 仍 然 会 留 下 一 些 蛛丝马迹 。 例 如 ， 安 装 了 某 些 后 门 程序 ， 运 行 后 也 可 能 被 管理 员 
发 现 。 所 以 ， 黑 客 通过 替换 一 些 系统 程序 的 方法 来 进一步 隐藏 踪迹 。 这 种 用 来 替换 正常 系 
统 程序 的 黑客 程序 称 为 rootkit， 这 类 程序 在 一 些 黑客 网 站 可 以 找到 ， 比 较 常 见 的 有 
LinuxRootKit， 现 在 已 经 发 展 到 了 5.0 版 本 了 。 它 可 以 替换 系统 的 ls、ps、netstat、inetd 等 
一 系列 重要 的 系统 程序 ， 当 替换 了 ls 后 ， 就 可 以 隐藏 指定 的 文件 ， 使 得 管理 员 在 使 用 ls 命 
令 时 无 法 看 到 这 些 文件 ， 从 而 达到 隐藏 自己 的 目的 。 


1.1.5 其 他 恶意 代码 
除了 上 述 介绍 的 几 种 恶意 代码 此 之 外 ， 属 于 恶意 代码 的 还 有 如 下 多 种 。 
1. 逻辑 炸弹 


逻辑 炸弹 (logic bomb) 是 嵌入 某 些 合法 程序 的 一 段 代码 ， 没 有 自我 复制 功能 ， 通 常 被 
预 置 于 较 大 的 程序 中 ， 等 待 某 随 机 事件 发 生 触 发 其 破坏 行为 。 


2. 细菌 


细菌 (germ) 是 一 种 在 计算 机 系统 中 不 断 进行 自我 复制 的 程序 ， 它 们 通过 不 断 复制 来 
占有 系统 资源 。 细 菌 也 具有 独立 性 。 这 两 点 与 蠕虫 相同 但是， 蠕虫 一 般 要 利用 一 些 网 络 
工具 进行 繁殖 ， 而 细菌 可 以 自己 繁殖 。 


3. 恶意 广告 


恶意 广告 是 采用 强制 弹出 、 炊 骗 安装 等 形式 的 网 络 广告 典型 的 有 “ 插 屏 流 误 ”"“ 千 尺 
游戏 大 厅 ” 推 荐 的 应 用 和 恶意 积分 培 等 。 


4. Cookie 与 网 络 臭虫 


Cookie 〈 小 甜 饼 ) 是 一 种 由 服务 器 生成 、 发 送 到 用 户 端 〈 一 般 是 浏览 器 ) 的 文本 文件 ， 
专门 用 于 保存 登录 过 服务 器 网 站 的 用 户 名 、 密 码 、 浏 览 过 的 网 页 、 停 留 的 时 间 等 信息 ， 以 
便 提高 网 站 和 用 户 之 间 的 交互 效率 。 这 样 ， 当 该 用 户 再 次 访问 同一 网 站 时 ， 服 务 器 就 可 以 
决定 不 要 用 户 输入 用 户 名 和 密码 直接 进入 已 经 登录 状态 ， 甚 至 还 会 根据 用 户 的 访问 历史 主 
动 提供 有 关 信息 。Cookie 在 生成 时 就 会 被 指定 一 个 Expire 值 ， 这 就 是 Cookie 的 生存 周期 ， 
在 这 个 周期 内 Cookie 有 效 ， 超 出 周期 Cookie 就 会 被 清除 。 有 些 页 面 将 Cookie 的 生存 周期 
设置 为 0 或 负 值 ， 这 样 在 关闭 浏览 器 时 就 马上 清除 Cookie， 不 会 记录 用 户 信息 ， 更 加 安全 。 
通常 ，Cookie 是 没有 和 危害 的 。 但 是 有 些 互 联网 企业 为 了 发 现 “ 商 机 ”， 把 “小 甜 饼 ” 变 成 了 
“网 络 自 虫 ”(Web bug， 也 称 为 网 络 信 标 Web beacon )。“ 网 络 和 与 虫 ” 是 一 段 恶 意 代码 ， 
它们 用 于 收集 用 户 信 息 、 用 户 访问 过 的 网 页 、 停 留 时 间 、 购 买 的 商品 等 个 人 偏好 信息 ， 通 
过 统计 分 析 这 些 个 人 信息 ， 向 用 户 精准 投放 广告 ， 或 者 再 向 其 他 需要 这 些 个 人 信息 的 公司 
出 售 获 利 。 
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5. 各 种 黑客 专用 工具 


一 般 说 来 ， 众 多 的 恶意 代码 都 是 黑客 的 帮凶 ， 或 者 是 黑客 利用 的 工具 。 不 过 有 一 些 恶 
意 代码 是 黑客 利用 最 多 的 工具 。 陷 门 就 是 其 一 。 此 外 还 有 一 些 是 黑客 刻意 研发 出 来 的 工具 ， 
例如 下 列 一 些 。 

(1) 僵尸 网 络 。 僵 尸 网 络 与 后 门类 似 ， 也 允许 攻击 者 访问 系统 。 但 是 所 有 被 同一 个 从 
尸 网 络 感染 的 计算 机 将 会 从 一 台 控制 命令 服务 器 接收 到 相同 的 命令 。 有 关 作 用 将 在 1.6.3 节 
介绍 。 

(2) 下 载 器 。 这 是 一 类 只 是 用 来 下 载 其 他 恶意 代码 的 恶意 代码 。 下 载 器 通常 是 在 攻击 
者 获得 系统 的 访问 时 首先 进行 安装 的 。 下 载 器 程序 会 下 载 和 安装 其 他 的 恶意 代码 。 

(3) 间谍 软件 。 这 是 一 类 从 受害 计算 机 上 收集 信息 并 发 送 给 攻击 者 的 恶意 代码 。 例 如 
嗅 探 器 、 密 码 哈 希 采 集 器 、 键 盘 记 录 器 等 。 这 类 恶意 代码 通常 用 来 获取 E-mail、 在 线 网 银 
等 账号 的 访问 信息 。 

(4) 启动 器 。 用 来 启动 其 他 恶意 程序 的 恶意 代码 。 通 常情 况 下 ， 启 动 器 使 用 一 些 非 传 
统 的 技术 ， 来 启动 其 他 恶意 程序 ， 以 确保 其 隐蔽 性 ， 或 者 以 更 高 权限 访问 系统 。 

(5) 内 核 套 件 。 设 计 用 来 隐藏 其 他 恶意 代码 的 恶意 代码 。 内 核 套件 通常 是 与 其 他 恶意 
代码 (如 后 门 ) 组 合成 工具 套装 ， 来 允许 为 攻击 者 提供 远程 访问 ， 并 且 使 代码 很 难 被 受害 
者 发 现 。 

(6) 勒索 软件 。 设 计 成 吓 距 受 感染 的 用 户 来 勒索 他 们 购买 某 些 东西 的 恶意 代码 。 这 类 
软件 通常 有 一 个 用 户 界面 ， 使 得 它 看 起 来 像 是 一 个 杀毒 软件 或 其 他 安全 程序 。 它 会 通知 用 
户 系统 中 存在 恶意 代码 ， 而 唯一 除 掉 它们 的 方法 只 有 购买 他 们 的 “软件 ”， 而 事实 上 ， 他 们 
所 卖 软件 的 全 部 功能 只 不 过 是 将 勒索 软件 进行 移 除 而 已 。 

(7) 发 送 垃圾 邮件 的 恶意 代码 。 这 类 恶意 代码 在 感染 用 户 计 算 机 之 后 ， 便 会 使 用 系统 
与 网 络 资源 来 发 送 大 量 的 垃圾 邮件 。 这 类 恶意 代码 通过 为 攻击 者 出 售 垃圾 邮件 发 送 服务 而 
获得 收益 。 

1.1.6 ”信息 系统 安全 卫士 

1. 信息 系统 安全 卫士 概述 

“ 道 高 一 尺 ， 魔 高 一 丈 ”。 随 着 计算 机 技术 和 网 络 技术 的 飞速 发 展 与 广泛 应 用 ， 恶 意 代 
码 和 黑客 技术 也 在 不 断 花 样 翻新 、 不 断 升 级 。 这 使 得 计算 机 用 户 不 得 不 安装 大 量 防范 软件 ， 


部 得 手忙脚乱 ， 应 接 不 暇 。 不 过 ， 这 种 局 面 也 促成 信息 安全 业 的 发 展 ， 也 使 得 信息 系统 
安全 卫士 应 运 而 生 。 表 1.3 列举 了 国内 开发 的 一 些 信息 系统 安全 卫士 产品 。 


表 1.3 国内 开发 的 信息 系统 安全 卫士 产品 举例 


存储 空间 /MB 
微软 | 安 卓 | 苹果 | MAC 


| os | vv om 


60.2 Bh ~ Rh EA 
2.5 Bh BA BA SA 












































发 布 时 间 
2016-09-05 





百度 安全 卫士 
360 安全 卫士 
QQ 电脑 管家 













2017-03-06 








2017-03-19 
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适用 系统 更 新 情况 
名 称 存储 空间 /MB 


微软 | 安 卓 | 苹果 | MAC 新 版 本 号 发 布 时 间 
金山 卫士 29.0 V 4.7.0.4215 官方 版 2016-03-15 
火绒 互联 网 安全 软件 9.7 V4.0.15.2 官方 版 2017-03-16 
360 Total Security 中 文 41.8 8.8.0.1077 中 文 版 2016-09-22 
2345 安全 卫士 10.5 V2.9 官方 版 2017-01-08 
11.8.17899.205 2016-08-08 
V11.4 官方 版 2017-03-06 
V23.01.77.85 官方 版 2016-12-02 
本 | 














QQ 电脑 管家 Win 10 专 版 50.9 
360 安全 卫士 Win 10 专 版 60.2 
瑞星 全 功能 安全 软件 2016 44.7 

















瑞星 安全 云 终端 20.6 V3.0.0.71 官方 版 2017-03-02 
瑞星 安全 助手 9.7 01.00.02.78 2016-08-19 
火绒 剑 独立 版 2.0 0.1.0.36 2016-09-19 
阿里 钱 盾 电脑 版 19.8 V | | V1.0.5.92 官方 版 2016-12-29 
网 站 安全 狗 36.8 | | v4.0.16786 官方 版 2017-01-18 
反 黑 安全 卫士 34.5 | 。 “|vi.0.185 官方 版 2016-08-22 
QQ 安全 管家 32.1 | |ves 及 v69 2012-04-19 
360 文 档 卫士 33 | | wuLoo.lool 官方 版 2017-03-17 
网 站 安全 狗 Apache 版 259 | | [v4.0.16776 官方 版 2017-01-18 


悬 镜 管家 7.0 | 汉人 v3.2.1.3482 官方 版 2017-01 
铠甲 安全 卫士 357 | | | |weoaeunnl 官方 版 2016-11-27 
联想 杀毒 软件 25.8 | | 一 vos 官方 版 2016-10-19 


安全 卫士 其 实 就 是 一 种 信息 安全 软件 包 ， 它 集成 了 多 种 安全 保护 软件 ， 并 不 断 升级 ， 
为 用 户 提 供 一 个 界面 、 多 种 功能 的 信息 安全 保护 。 图 1.10 一 图 1.12 是 其 中 3 款 的 用 户 界面 。 


本 








|- 











本 百度 安全 了 十 论坛 设置 [= | 品 
全 | 全 虽 冤 国 上 罩 国 
首页 」 亚 亲 林 马 。 候 复 将 河清 理 匠 件 。 系统 优化 。 过 级 清理 问 后 。。 实时 保护 
日 最 新 功能 
正在 进行 电网 件 检 ,请 稍 外 
bol 1 Lm | 河 沈 各 主 页 入 和 2K ， 一 健 烽 提 
本 Riz 理 
”性 列 否 有 所 站 白人 发 现成 护 [ 久 季 】 必 | 。 = 污 香 使用 交还 ， 保护 您 的 各 和 
9 葵 而 是 否 有 不 统 珊 油 发 现 万 胁 [危险 ] | 加 pp 
栓 弄 最 百度 安全 卫士 是 计 方 版 本 是 计 方 版 本 [S 全 ] | 
@ 检测 上 网 全 防护 是 否 已 全 开启 已 全 部 开 B [全] | pt 
@ 共生 是 天 已 开 忆 百 度 安 全 卫士 全部 保护 已 开 B 集 护 ( 妥 全 ] 时 A 
准 。 答 向 是 否 有 木马 程序 正在 检测 实时 保护 ， 防 部 拦 交 安 全 上 同 
净 ”检测 是 否 妇 第 喧 导 共用 正在 检测 
罗 ， 检 测 是 否 cuest 账户 访 生 用 下 芷 检测 
效 ，” 检 测 是 否 刀 许 查看 阳 本 文件 / 文 上 天 正 下 检测 
效 ， 检 珊 是 否 有 系 纺 共享 次 天 正在 愉 各 
效 ， 检 测 是 否 茜 目 去 各 克 面 本 机 EE 检测 。 国 
当前 设置 为 : 每 天 第 一 次 打开 百度 安全 卫士 主 界面 后 自动 人 栓 玫 力 手动 个 检 
主 程序 版 本 : 2 1.1.59 本 寻 不 马 麻 : 2011.1.20 12 哺 云 引擎 连接 成 功 








图 1.10 百度 安全 卫士 用 户 界面 
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共 检查 了 54 项 , 以 下 1 项 有 问题 











人 [强人 未 区 得 网 购 先 苦 全 部 保 额 ， 开启 全 部 功能 后 ,可 享 单 笔 最 高 3000 元 娄 付 额度 
外 如 果 多 还 剑 妍 电脑 存 在 故 隐 无 法 自行 航 决 , 可 以 使 用 360 气 家 免费 提供 人 工 最 务 

更 多 
以 下 53 项 没有 问题 回 

G 

吕 条 六 强化 (检测 系统 是 否 可 以 强化 ) 共 1 顶 六 于 各 肪 次 。 手机 助手 360 网 盾 
*， 电脑 中 的 软件 已 更 新 至 最 新 版 本 © 医 ] 国 
加 安全 检测 ( 检 出 旺 否 有 病毒、 森马、 源 到 等 ) 共 8 项 入 i 
”360 木 马 防 火 培 开 机 生动 启动 © ny | 
*- 到 防 和 最 务 已 开启 © | 
”EF © 系统 急 玖 梢 。 交 件 检 太 仙 炭 认 软件 设置 
* 360 杀 毒 开机 自动 启动 © 
. EE 天 级 备用 森马 库 75% 三 


图 1.11 360 安全 卫士 用 户 界面 





您 还 未 进行 过 病毒 扫描 ,建议 您 立即 扫描 。 
宇 岗 行伍 硬 扩 后。 可 以 及 条 必 过 安全 丘 胃 六 光 行 处理， 


已 实时 保护 您 的 电脑 5 天 ， 安 时 防护 检测 活 且 文件 1475 个 


waw: 加 图 





佑 要 区 信任 区 











图 1.12 ”2345 安全 卫士 用 户 界面 


2. 信息 系统 安全 卫士 的 功能 


目前 国内 开发 出 的 安全 卫士 产品 很 多 ， 各 有 特色 ， 但 一 般 来 说 都 有 如 下 功能 或 类 似 
功能 。 

(1) 电脑 体检 : 对 计算 机 进行 详细 的 检查 。 

(2) 木马 查 杀 。 

(3) 漏洞 修复 : 为 系统 修复 高 危 漏洞 和 功能 性 更 新 。 
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(4) 系统 修复 : 
(5) 电脑 清理 : 
(6) 优化 加 速 : 
(7) 电脑 救援 : 
(8) 软件 管家 : 
(9) 功能 大 全 : 


修复 常见 的 上 网 设置 和 系统 设置 。 

清理 插件 、 清 理 垃圾 和 清理 痕迹 并 清理 注册 表 。 

加 快 开机 速度 。 

自助 方案 、 专 家 人 工 在 线 解决 计算 机 故障 问题 。 

安全 下 载 软件 和 小 工具 。 

提供 其 他 各 式 各 样 的 功能 ， 如 开机 时 间 、 流 量 显示 、 性 能 体检 等 。 





3. 信息 系统 安全 卫士 的 选用 


目前 绝 大 多 数 安全 卫士 都 是 免费 提供 的 。 选 择 一 个 合适 的 安全 卫士 产品 ， 一 般 应 当 从 
可 见 与 不 可 见 两 个 方面 进行 比较 。 


1) 可 见方 面 


(1) 功能 。 目 前 各 种 安全 卫士 的 功能 略 有 差异 。 


(2) 适用 系统 。 


如 表 1.3 所 示 ， 有 的 适用 于 微软 (Windows)， 有 的 适用 于 Android， 还 


有 的 适用 于 苹果 手机 ， 有 的 适用 于 MAC 系统 。 有 的 有 多 种 适用 。 
(3) 占用 的 存储 空间 。 





(4) 版 本 情况 ， 
(5) 界面 情况 ， 
2) 不 可 见方 面 





是 否 比较 新 的 版 本 。 
是 否 使 用 起 来 方便 。 


不 可 见方 面 主要 要 考虑 : 开发 (运行 ) 该 软件 的 商家 的 实力 强 弱 。 一 般 说 来 ， 实 力 强 
的 公司 ， 样 本 库 丰 富 、 更 新 快 ， 服 务 准 确 、 及 时 。 


1.2” 穷 听 型 攻击 


窃听 是 指使 用 专用 技术 装备 秘密 窃取 侦察 目标 的 声波 、 信 号 和 图 像 等 信息 ， 从 中 获得 
情报 的 一 种 手段 ， 是 窃听 、 窃 视 、 窍 录 、 和 仿照 的 总 称 。 和 窃听 是 伴随 着 竞争 出 现 的 。 在 人 类 


社会 中 ， 军 事 、 外 交 、 


些 领 域 。 


商业 和 政治 斗争 是 竞争 最 为 激烈 的 领域 ， 窃 听 行 为 也 主要 发 生 在 这 


窃听 渠道 多 种 多 样 ， 技 术 形形色色 。 本 节 介绍 基于 通信 的 5 类 监听 〈 声 波 监听 、 电 磁 


波 监听 、 光 缆 监 听 、 
1.2.1 世界 著名 监听 案例 
1. 杜 里 疾 控 地道 监听 


据 称 ， 有 史料 记载 的 最 早 的 窃听 事件 发 生 在 战国 时 期 。 
《韩非子 。 外 储 说 右上 》 记 载 ， 楼 (cha) 里 疾 《〈 见 图 1.13) 
是 秦 惠 王 的 弟弟 ， 他 足智多谋 ,很 受 秦王 宠爱 。 后来， 秦王 


手机 监听 和 共享 网 络 中 监听 )。 





手下 来 了 一 个 叫 公孙 衍 的 谋士 , 获得 了 秦王 赏识 。 为 了 保住 图 1.13 楼 里 疾 


*。 36。 


自己 的 地 位 ， 楼 里 疾 在 秦王 宫殿 下 面 挖 了 条 地 道 ， 每 当 秦 王 单独 召见 公孙 衍 ， 楼 里 疾 就 潜 
入 地 道 窃听 他 们 谈话 ， 并 最 终 靠 窍 听 得 到 的 消息 挤 走 了 公孙 衍 。 这 种 窃听 方式 是 非常 笨拙 
的 ， 要 受 许多 条 件 的 限制 。 


2. 美国 驻 苏 大 使 馆 中 的 美国 国徽 


1960 年 的 联合 国 大 会 期 间 ， 当 与 会 代表 争论 美国 U-2 间谍 飞机 在 苏联 领土 上 被 击落 的 
事件 时 ， 美 国 大 使 享 利 。 卡 波 特 " 洛 奇 决定 放手 一 搏 。 他 拿 出 一 个 木 制 的 美国 国徽 ， 那 是 
苏 美 友好 协会 赠送 给 美国 驻 莫斯科 大 使 馆 的 礼物 。 他 用 一 个 锰 子 从 麻 嘴 处 取 下 一 个 微小 的 
麦 殉 风 ， 从 而 反击 了 苏联 对 美国 间谍 飞机 的 谴责 。 

1945 年 2 月 雅尔塔 会 议 期 间 ，4 名 苏联 少先队 员 抬 着 一 枚 由 各 种 名 贵 木料 拼装 而 成 的 
美国 国 征 送 给 卡 里 曼 。 这 枚 内 藏 “ 金 情 ”( 它 不 需要 电池 和 外 来 电流 ， 就 可 以 接收 到 300m 
以 内 大 耗 电 量 振荡 器 所 发 出 的 微波 脉冲 ) 的 美国 国徽 〈 见 图 1.14) 被 后 来 悬挂 在 卡 里 曼 办 
公 室 的 那 一 刻 起 ， 克 格 勃 窃听 美国 大 使 的 “自白 ”行动 便 开始 启动 ， 持 续 了 8 年 ， 送 走 了 4 
任 美 国 大 使 。 这 个 事件 被 称 为 苏联 的 “ 金 层 行 动 ”。 


3. 美国 的 “常春 荐 之 铃 ” 


在 冷战 最 激烈 的 1971 年 , 美国 “大 比目鱼 ”号 潜艇 ( 见 图 1.15) 奉命 前 往 哪 霍 次 克海 ， 
执行 代号 为 “常春 藤 之 铃 ”的 行动 。 潜 水 员 们 沿 着 鄂 霍 次 克海 北部 水 下 120m 的 深 处 艰难 地 
发 现 一 串 “ 禁 止 靠 近 ” 的 标记 后 ， 找 到 了 一 条 事 通信 电缆 。 这 是 一 条 苏联 位 于 符 拉 
迪 沃 斯 托 克 的 太平 洋 舰队 司令 部 与 彼得 罗 巴 甫 洛 夫 斯 克 潜 艇 基地 进行 联络 的 电 绕 。 电 缆 中 
的 信号 虽 是 编码 的 ， 但 却 并 未 加 密 。 潜 水 员 们 在 这 条 电线 上 安装 了 能 录 下 所 有 谈话 的 窃听 
器 。 窃 听 器 是 一 个 长 约 sm、 直径 约 1.2m 的 钢 柱 ， 内 置 包 含 提供 能 源 的 钙 电池 和 录音 设备 。 
该 录音 设备 能 够 在 电缆 有 信号 时 自动 开机 ， 最 多 可 录 下 长 达 150h 的 通话 。 美 军 潜水 员 每 月 
下 水 一 次 ， 取 回 录 好 的 录音 带 ， 换 上 新 录音 带 。 五 角 大 楼 确信 这 个 计划 很 成 功 ， 随 后 在 其 
他 几 处 苏联 通信 电线 上 也 安装 了 类 似 的 窃听 设备 。 
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图 1.14 美国 揭露 苏联 的 “ 金 

“常春 藤 之 铃 ” 行 动 延 续 了 10 年 之 久 。 直 到 1981 年 ,美国 国安 局 的 一 位 雇员 将 这 一 秘 
密 卖 给 了 莫斯科 ， 该 行动 才 被 苏联 知晓 。 葛 斯 科 为 了 掩护 美国 线 人 ， 声 称 是 在 修理 被 渔船 
毁坏 的 电缆 过 程 中 误 打 误 撞 发 现 了 此 事 。 


图 1.15 “大 比目鱼 ”号 潜艇 





层 行 动 ” 
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4. 美国 驻 罗马 尼 亚 大 使 的 “皮鞋 窃听 案 ” 


1969 年 春 , 美国 驻 罗 马 尼 亚 大 使 被 鉴 听 ， 保 安 军官 最 后 在 大 使 左 脚 皮鞋 的 鞋 后 跟 里 发 
现 了 一 只 大 功率 苏 制 K9R 窃听 器 ， 这 只 皮鞋 曾 由 大 使 馆 里 的 一 个 “ 女 佣 ” 拿 去 修理 过 。 在 
“修理 ”过 程 中 ， 土 后 跟 被 人 鹿 开 ， 装 进 了 这 个 质量 不 到 5.7g 的 窃听 器 〈 见 图 1.16)， 鞋 跟 
上 还 挖 了 一 个 小 孔 ， 使 窃听 器 的 麦克 风头 露出 来 ， 在 另 一 个 小 洞 里 插 着 一 根 钢 针 。 这 样 ， 
只 要 “ 女 佣 ”在 夜里 把 针 拔 出 来 就 关闭 了 窃听 器 ， 而 早上 在 大 使 起 床 前 把 钢 针 一 踩 进去 ， 
就 又 开启 了 窃听 器 。 


5. 牙齿 中 的 发 报 机 


米 里 亚 姆 〈 见 图 1.17) 在 意大利 是 一 位 家 喻 户 晓 的 人 物 ， 她 拥有 全 意大利 最 大 的 侦探 
社 之 一 ， 据 说 年 营业 额 逾 一 亿美 元 ， 在 全 球 更 有 超过 1400 名 合作 伙伴 。 发 生 在 这 位 风云 人 
物 身 上 的 有 趣 故 事 是 :她 在 牙医 协助 下 把 窃听 器 装 在 丈夫 的 牙齿 里 ， 把 其 曾 夸 下 海口 说 她 
绝对 抓 不 到 他 “ 偷 胆 ” 把 柄 的 老公 变 成 了 前 夫 。 


6. 尼克 松 的 “水 门 事件 ” 


1972 年 6 月 17 日 凌晨 , 有 5 个 人 企图 潜入 位 于 华盛顿 水 门 大 厦 的 美国 民主 党 总 部 时 被 
警方 抓获 。 他 们 潜入 水 门 大 厦 是 为 了 更 换 此 前 被 安放 在 民主 党 总 部 但 已 失效 的 窃听 设备 ， 
不 料 当 场 被 扒 。 经 过 两 年 的 调查 ,“ 水 门 事 件 ” 终 于 暴露 了 尼克 松 在 1972 年 利用 非法 手段 
赢得 总 统 连任 的 政治 丑闻 ， 尼 克 松 的 两 名 竞选 顾问 和 其 他 近 30 名 政府 官员 先后 遭 到 起 诉 ， 
尼克 松 也 在 强大 的 压力 下 于 1974 年 8 月 9 日 辞职 ， 成 为 美国 历史 上 唯一 一 位 辞职 的 总 统 。 
图 1.18 为 尼克 松 发 表 辞 职 演说 的 电视 画面 。 















































图 1.16 皮鞋 中 的 窃听 器 ”图 1.17 意大利 女 侦探 米 里 亚 姆 ”图 1.18 尼克松 发 表 辞 职 演说 的 电视 画面 


7. 密 特 朗 窃听 门 


弗 朗 索 瓦 ， 密 特 朗 (Francois Mitterrand， 见 图 1.19) 于 1981 一 1995 年 任 法 国 总 统 。1982 
年 8 月 18 日 ， 当 时 的 法 国 总 统 密 特 朗 下 令 组 建 一 个 “反恐 怖 合作 、 信 息 和 行动 委员 会 ”， 
并 将 这 一 任务 交 给 了 当时 的 国家 宪兵 快速 行动 小 组 负责 人 普 鲁 托 。 在 普 鲁 托 的 领导 下 ， 法 
国 秘密 建立 了 “爱丽 镶 宫 电话 监听 系统 ”。 这 一 系统 的 初衷 是 预防 恐怖 事件 的 发 生 ， 但 这 一 
职能 很 快 得 到 了 “延伸 ”1982 年 8 月 28 日 ， 普 鲁 托 将 窃听 系统 的 触角 伸 向 了 某 政要 的 私 
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人 住宅 ， 而 这 一 行动 受到 了 密 特 朗 总 统 的 “理解 与 支持 ” 

1997 年 2 月 ， 调 查 人 员 在 一 个 汽车 修理 厂 内 发 现 一 批 普 鲁 托 的 个 人 资料 ， 其 中 有 部 分 
材料 显示 , 前 总 统 密 特 朗 曾 发 布 过 有 关 窗 听 的 命令 。 经 过 数 年 调查 确认 , 该 系统 1983 一 1986 
年 对 250 位 公众 人 物 进 行 了 非法 的 电话 穷 听 。 为 此 ， 有 12 名 密 特 朗 的 前 助手 成 为 被 告 ， 而 
密 特 朗 于 1996 年 1 月 去 世 ， 躲 过 了 司法 追究 。 


8. 苏联 解体 的 导 火 索 


1991 年 7 月 底 ， 苏 联 领 导 人 戈 尔 巴 乔 夫 同 当时 的 俄罗斯 总 统 叶利钦 和 哈萨克 斯 坦 总 统 
纳 扎 尔 巴 耶 夫 的 机 密 电话 被 窃听 。 当 时 3 人 谈 到 克格勃 首脑 克 留 奇 科 夫 和 国防 部 长 亚 佐 夫 
的 去 留 ， 戈 尔 巴 乔 夫 认 为 “那些 达到 退休 年 龄 和 构成 负担 的 人 应 该 被 奉 换 ”。 谈 话 被 克格勃 
秘密 偷 听 并 录音 ， 克 留 奇 科 夫 利用 录音 胁迫 亚 佐 夫 共同 发 难 。1991 年 8 月 19 日 ， 以 克 留 奇 
科 夫 为 首 的 “紧急 状态 委员 会 ”发 动 政变 ， 政 变 终 因 人 民 反 对 、 军 队 倒戈 而 流产 ， 苏 联 也 
在 政变 中 宣告 解体 。 图 1.20 为 苏联 解体 过 程 中 的 叶利钦 指 着 戈 尔 巴 乔 夫 的 照片 。 


le 








图 1.19 弗 朗 索 瓦 。 密 特 朗 图 1.20 叶利钦 指 着 戈 尔 巴 乔 夫 


9. 联合 国 遭 窃听 事件 


2004 年 2 月 26 日 ,英国 前 国际 开发 事务 大 臣 克 莱 尔 。 肖 特 对 媒体 披露 称 ， 在 伊拉克 战 
争 爆 发 前 ， 英 国 负责 海外 情报 事务 的 军情 六 处 曾经 在 政府 的 授权 下 对 联合 国 秘书 长 安南 的 
办 公 室 进行 窍 听 ， 她 本 人 就 翻阅 过 安南 私人 讲话 的 监听 记录 文件 副本 。 

第 二 天 ， 联 合 国 前 首席 武器 核查 官 理 查 德 。 巴 特 勒 也 站 了 出 来 ， 从 侧面 证 实 了 肖 特 的 
指控 。 巴 特 勒 曾经 在 1997 一 1999 年 担任 联合 国 负责 监 督 伊 拉克 销毁 大 规模 杀伤 性 武器 的 特 
别 委员 会 主席 。 巴 特 勒 对 美 联 社 记者 说 : 对 他 进行 间谍 活动 的 其 实 不 止 英国 一 家 。 他 相信 
在 联合 国安 理会 的 5 个 常任 理事 国 中 ， 除 了 中 国 以 外 ， 另 外 4 个 国家 都 对 他 进行 了 窃听 
活动 。 

曾经 在 1992 一 1996 年 担任 联合 国 秘书 长 的 加 利 也 向 外 界 表示 ， 他 确信 在 任职 期 间 一 直 
是 间谍 活动 的 目标 之 一 。 加 利 在 接受 英国 广播 公司 的 采访 时 说 :“ 从 我 上 任 的 第 一 天 起 ， 就 
有 人 提醒 我 ， 让 我 小 心 ， 因 为 我 的 办 公 室 和 住宅 都 被 人 安装 了 窃听 器 .” 加 利 还 透露 ， 据 他 
所 知 ,“ 具 备 技术 手段 ”的 国家 有 不 少 都 对 联合 国 秘书 长 进行 窃听 活动 , 这 已 经 成 了 一 个 “ 传 
统 ”。 而 联合 国 对 此 也 几乎 无 能 为 力 ， 所 以 只 能 自己 采取 防范 措施 ， 因 为 不 光 家 里 、 办 公 室 
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里 ， 甚 至 汽车 以 及 电话 上 都 有 别人 的 “ 耳 条 ”。 一 位 曾 在 加 利 身边 工作 多 年 的 联合 国 工 作 人 
员 称 ， 为 了 防止 遭 到 窃听 ， 这 位 前 联合 国 秘书 长 从 上 班 第 一 天 起 便 几 乎 养 成 了 一 个 习惯 ; 
每 天 上 班 之 前 先 把 自己 的 衣服 拌 搂 几 下 ， 再 让 手下 把 文件 包 、 办 公 室 角落 悉数 “扫描 ”一 
遍 ， 再 认真 地 检查 一 下 电话 机 ， 看 看 下 面 是 否 有 窃听 器 。 

2004 年 12 月 ， 联 合 国 驻 欧洲 办 事 处 发 言 人 玛丽 称 ， 该 办 事 处 所 在 的 日 内 瓦 万 国 宫 法 兰 
西 厅 内 发 现 了 一 套 窃听 装置 。 窃 听 装 置 是 当年 秋天 工人 们 在 法 兰 西 厅 的 装修 施工 过 程 中 在 
护 墙 板 内 发 现 的 。 

2013 年 8 月 25 日, 德国 《明镜 》 周 刊 获 得 的 美国 国家 安全 局 秘密 文件 显示 , 美国 国家 
安全 局 不 仅 监听 欧盟 ， 而 且 也 对 联合 国 总 部 实施 了 监听 行动 。 


10.《 世 界 新 闻 报 》 窃听 丑闻 


2005 年 5 月 ,《 世 界 新 闻 报 》 刊 登 了 威廉 王子 膝盖 肌 妥 受伤 的 消息 。 这 条 不 痛 不 痒 的 报 
道 引起 了 英国 王室 的 怀疑 ， 因 为 王子 受伤 的 事情 鲜 有 人 知 ， 王 室 随即 向 警方 报案 。2006 年 
4 月,《 太 阳 报 》(The Sun) 刊登 了 哈里 王子 流连 脱衣 舞 夜 总 会 的 新 闻 ， 随 后 《世界 新 闻 报 》 
跟踪 报道 ， 在 刊登 的 新 闻 中 竟然 还 原 了 威廉 王子 嘲笑 哈里 的 邮件 。 

英国 《太阳 报 》 是 富商 基 思 。 鲁 珀 特 。 默 多 克 〈Keith Rupert Murdoch) 拥有 的 新 闻 集 
团 (News Corporation) 旗下 的 一 份 小 报 。《 太 阳 报 》 是 全 英国 销量 最 高 的 报纸 ，2004 年 后 
期 该 报 的 每 日 发 行 量 达 320 万 份 。 星 期 日 版 的 《太阳 报 》 名 为 《世界 新 闻 报 》(News of the 
World)。 该 报纸 以 报道 许多 名 人 以 及 涉及 名 人 的 丑闻 的 文章 而 出 名 。 

伦敦 警方 于 2006 年 开始 调查 这 家 报纸 窗 听 名 人 电话 事件 。 据 透露 , 《世界 新 闻 报 》 窃 
听 行 为 的 受害 者 可 能 多 达 4000 人 。 其 中 涉及 它 曾 雇 私 家 侦探 窃听 2002 年 失踪 女孩 米 莉 * 道 
勒 手机 语音 留言 。 这 一 系列 的 监听 丑闻 ， 引 起 从 首相 到 普通 民众 的 一 致 愤慨 。 

2011 年 7 月 10 日 ,《 世 界 新 闻 报 》 被 迫 关 门 停刊 , 当日 出 版 的 最 后 一 期 向 读者 告别 〈 见 
图 1.21)。 


11. 美国 的 “棱镜 计划 ” 


棱镜 计划 (PRISM) 是 一 项 由 美国 国家 安全 局 (NSA， 见 图 1.22) 自 2007 年 小 布什 时 
期 起 开始 实施 的 绝密 电子 监听 计划 , 该 计划 的 正式 名 号 为 US-984XN。 美国 情报 机 构 一 直 在 
9 家 美国 互联 网 公司 中 进行 数据 挖掘 工作 ， 从 音频 、 视 频 、 图 片 、 邮 件 、 文 档 以 及 连接 信息 
中 分 析 个 人 的 联系 方式 与 行动 。 监 控 的 类 型 有 10 类 信息 : 电邮 、 即 时 消息 、 视 频 、 照 片 、 
存储 数据 、 语 音 聊 天 、 文 件 传输 、 视 频 会 议 、 登 录 时 间 和 社交 网 络 资料 的 细节 ， 其 中 包括 
两 个 秘密 监视 项 目 , 一 是 监视 、 监 昕 民众 电话 的 通话 记录 ,二 是 监视 民众 的 网 络 活动 。2013 
年 7 月 1 日 晚 ， 维基 解密 网 站 披露 ， 美国“ 棱镜 门 ”事件 泄密 者 斯 诺 登 (Edward Snowden， 
见 图 1.23) 在 向 厄瓜多尔 和 冰岛 申请 庇护 后 ,又 向 19 个 国家 寻求 政治 庇护 。 从 欧洲 到 拉美 ， 
从 传统 盟友 到 合作 伙伴 ， 从 国家 元 首 通话 到 日 常会 议 记 录 ， 几 乎 所 有 人 的 通信 活动 都 处 于 
“棱镜 计划 ”监听 之 中 。 
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图 1.21 最 后 一 期 《世界 新 闻 报 》 图 1.22 美国 国家 安全 局 图 1.23 爱德华 。 斯 诺 登 


1.2.2 ”声波 窃听 


声波 是 一 种 波动 ， 因 此 它 具 有 波动 的 一 切 特性 ， 能 产生 反射 、 折 射 、 干 涉 、 衍 射 、 共 
鸣 等 现象 。 根 据 声 波 特性 ， 人 们 制造 了 多 种 多 样 的 窃听 器 。 

早 在 2500 年 前 的 战国 时 代 ， 就 出 现 了 一 种 称 为 “ 听 丛 ”的 监听 工具 。 听 丛 是 用 陶 制 成 
的 ， 如 图 1.24 (a)》 所 示 ， 它 大 肚 小 口 。 把 它 埋 在 地 下 ， 并 在 舍 口 蒙 上 一 层 薄 薄 的 皮革 ， 人 
伏 在 上 面 就 可 以 倾听 到 城 外 方圆 数 十 里 的 动静 。 到 了 唐 代 ， 又 出 现 了 一 种 “地 听 器 ” 如 
图 1.24 (b) 所 示 ， 它 是 用 精 瓷 烧 制 而 成 的 ， 形 状 犹如 一 个 空心 的 葫芦 形 枕头 ， 人 睡 卧 休息 
时 ， 侧 头 贴 耳 枕 在 上 面 ， 就 能 清晰 地 听 到 30 里 外 的 马蹄 声 。 





(a) 听 丛 (b) 地 听 器 
图 1.24 听 丛 和 地 听 器 


北宋 大 科学 家 沈 括 在 他 著名 的 《 梦 溪 笔谈 》 一 书 中 介绍 了 一 种 用 牛皮 做 的 “ 箭 襄 听 枕 ”。 
他 还 科学 地 指出 ， 这 种 “ 箭 赛 听 枕 ”之 所 以 能 够 听 到 “ 数 里 内 外 的 人 马 声 ” 是 因为 “ 虚 能 
纳 声 ”并 利用 共振 来 放大 传 来 的 微弱 信号 ， 而 大 地 又 好 像 是 一 根 “ 专 线 ”， 连 接着 彼此 两 
个 地 点 ， 是 一 种 传递 声音 信号 的 媒介 。 在 江南 一 带 ， 还 有 一 种 常用 的 “ 竹 管 窃听 器 ”。 它 是 
用 一 根 根 凿 穿 内 节 的 毛竹 连接 在 一 起 的 ， 敷 设 在 地 下 、 水 下 或 隐蔽 在 地 上 、 建 筑 物 内 ， 进 
行 较 短 距离 的 窃听 。 
在 国外 ， 人 们 还 采用 过 称 为 “大 耳 休 ”的 窃听 器 〈 见 图 1.25)。 这 种 窃听 器 有 一 个 特别 
大 的 圆 盘 ， 圆 盘 朝 前 的 一 面 为 抛物 面 ， 当 正 前 方 传 来 的 声波 碰 到 圆 盘 时 ， 根 据 波 的 反射 原 
理 ， 会 被 圆 盘 反 射 聚 集 在 焦点 上 ， 来 自 其 他 方向 的 声波 则 不 会 聚焦 。 在 焦点 上 放置 一 个 能 


接收 微弱 声音 的 微 音 器 ， 从 正面 传 来 的 微弱 声音 激励 微 音 器 工作 ， 将 声 能 转换 成 电信 和 号 ， 
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经 电子 线路 放大 ， 再 由 窃听 人 员 使 用 耳机 监听 。 这 种 抛物 面 式 窃听 器 能 够 拾取 较 大 面积 的 
声 能 ， 窃 听 距 离 可 达 几 千 米 。 

根据 同样 的 声波 反射 、 折 射 原理 ， 还 可 制 成 外 形 像 扩 音 喇叭 一 样 的 远 距 离 定向 麦克 风 
窃听 器 。 为 了 提高 灵敏 度 和 指向 性 ， 还 可 根据 双 耳 效应 ， 用 两 个 喇叭 拾 音 。 所 谓 双 耳 效 应 ， 
就 是 来 自 正 前 方 的 声音 同时 到 达 双 耳 ， 而 来 自 侧面 的 声音 ， 由 于 传播 路 程 略 有 差异 ， 总 是 
一 个 耳 灯 先 听 到 ， 另 一 个 耳 杂 后 听 到 ， 分 析 两 耳 听 到 声音 的 时 间 差 ， 就 可 确定 声音 的 方向 
和 距离 。 

为 了 便于 携带 ， 人 们 还 根据 波 的 倒 加 原理 制 成 了 外 形 像 鸟 枪 的 窃听 器 ， 窃 听 者 只 要 
把 “ 鸟 枪 ” 的 枪 口 对 准 被 窃听 的 方向 ， 就 能 取得 较 好 的 窃听 效果 。 这 种 “ 乌 枪 ”窃听 器 
在 它 长 长 的 枪 管 上 开 有 很 多 规则 排列 的 小 孔 ， 当 声波 从 正 前 方 传 来 时 ， 经 过 小 孔 进入 枪 
管 ， 就 会 在 枪 管 尾部 的 微 音 器 处 互相 加 强 ， 而 当 无 关 的 声波 从 枪 管 两 侧 传 来 时 ， 经 小 孔 
进入 枪 管 后 则 互相 抵消 ， 这 就 使 监听 人 员 听 不 到 与 窃听 对 象 无 关 的 声音 ， 只 拾取 被 侦察 
方向 的 声音 。 

声波 是 足 密 波 ， 在 稀疏 区 域 实际 压强 小 于 原来 的 静 压强 ， 在 稠密 区 域 实 际 压强 大 于 原 
来 的 静 压 强 ， 声 压 的 周期 性 变化 可 以 控制 电流 的 周期 性 变化 ， 从 而 把 声 信号 转换 为 电信 号， 
然后 经 输送 线 传 到 电 声 装 置 ， 再 将 电信 和 号 转换 为 声 信号 ， 以 供 监听 人 员 接 收 。 这 种 利用 声 
振动 产生 声 压 传递 信号 的 原理 ， 不 仅 是 窃听 器 的 工作 原理 ， 也 是 电话 机 的 工作 原理 。 随 着 
电话 的 普及 ,电话 机 也 成 为 常用 的 窃听 工具 。 最 初 使 用 电话 进行 窃听 的 方法 如 图 1.26 所 示 ， 
是 将 微小 窃听 器 放 到 电话 的 麦克 风 中 ， 进 行 声波 窃听 。 














图 1.25 “大 耳 休 ” 图 1.26， 放 进 电话 机 中 的 窃听 器 


为 了 便于 隐藏 ， 窃 听 器 日 趋 小 型 化 、 微 型 化 。 有 的 窃听 器 做 成 黄豆 粒 或 针尖 那么 小 ， 
埋设 在 墙壁 、 电 话机 、 电 灯 、 沙 发 、 椅 子 里 ， 用 一 对 导线 将 信号 引出 来 。 窃 听 者 在 远 远 的 
地 方 即 可 听 到 室内 的 动静 ， 其 拾 音 范围 可 达 10m 左右 ， 甚 至 连 写 字 的 声音 都 能 听 得 一 清二 
楚 。 为 了 减少 专 设 线路 和 解决 窃听 器 的 用 电 问题 ， 往 往 就 利用 室内 电源 插座 上 的 交流 电 ， 
窃听 者 只 要 在 电源 插座 上 附设 小 小 的 配件 ， 窃 听 麦 区 风 拾 取 的 谈话 声音 ， 经 过 放大 调频 变 
成 载波 信号 ， 送 到 电源 线 上 传输 出 去 。 窃 听 者 在 电源 线路 的 任何 位 置 接 上 一 个 载波 接收 器 ， 
便 能 听 到 室内 的 谈话 。 

为 了 隐藏， 许多 窃听 器 被 隐藏 在 日 常用 品 中 。 例 如 ， 国 外 曾 有 一 种 伪装 成 航空 卡片 架 
的 窃听 器 ， 上 面 用 法 文 写 着 “航空 运输 联盟 ”等 字样 ， 但 实际 上 把 微型 麦克 风 和 窃听 发 射 机 、 
遥控 接收 机 和 电池 等 装 在 不 到 lcm 厚 的 木板 底座 里 ， 上 面 的 金属 框架 就 是 发 射 天 线 和 接收 
天 线 。 有 的 微波 窃听 器 可 以 制 得 很 小 ， 隐 藏 在 提包 、 首 饰 、 钢 笔 、 眼 镜 、 鲜 花 、 领 带 、 纽 
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扣 、 和 餐厅 服务 员 临 时 送 上 的 调料 、 烟 灰 缸 以 及 电子 打字 机 、 计 算 机 、 译 码 电信 机 、 电 传 机 、 
保密 机 等 电子 设备 中 。1983 年 1 月 ， 法 国 驻 莫斯科 使 馆 在 修理 电 传 打字 机 的 过 程 中 ， 意 
外 发 现 打字 机 的 电容 器 里 有 个 复杂 的 电子 窃听 器 ， 它 可 使 电文 在 未 被 译 成 密码 之 前 就 被 
截 收 。 

还 有 一 种 方法 是 在 建筑 物 中 预先 埋设 窃听 器 。 例 如 ， 苏 美 情报 机 构 常常 利用 为 外 国 修 
建 或 改建 大 使 馆 的 机 会 ， 把 这 种 窃听 装置 埋设 在 使 馆 内 。20 世纪 80 年 代 美国 曾 派 特 工 渗入 
负责 兴建 苏联 驻 美 使 馆 的 建筑 商 ， 趁 机 在 大 使 馆 地 底下 挖掘 了 一 条 秘密 隧道 ， 在 隧道 中 安 
装 各 种 窃听 工具 ， 监 视 大 使 馆 的 一 举 一 动 。 而 当时 的 苏联 也 采取 了 同样 手段 。1985 年 美国 
在 对 其 驻 苏 大 使 馆 的 新 馆 舍 进行 安全 检查 时 ， 在 混凝土 构件 中 查 出 了 一 大 堆 麦 克 风 。1987 
年 里 根 说 :“ 美 国 除了 全 部 拆除 驻 苏 新 使 馆 大 楼 外 ， 别 无 选择 。 整 幢 大 楼 窃听 器 密布 。” 

为 了 解决 入 室 布 放 困难 的 问题 ， 人 们 也 绞 尽 脑 汁 。 例 如 ， 可 将 拾 音 器 、 信 号 放大 电子 
线路 、 电 池 、 天 线 等 装 在 特制 的 炮弹 中 ， 在 作战 之 前 伴随 火力 侦察 ， 发 射 到 敌 方 的 哨所 、 
驻地 、 指 挥 部 附近 ， 或 交通 要 道 等 处 ， 它 可 以 起 着 侦察 兵 起 不 到 的 作用 。 

克格勃 在 20 世纪 50 年 代 中 期 广泛 应 用 的 一 种 微型 无 线 电 窃听 器 “ 虫 威 ” 是 这 个 时 
代 人 窃听 器 的 代表 作 ， 其 体积 只 有 火柴 盒 大 小 ， 可 以 用 气枪 弹射 到 窃听 目标 外 墙 上 ， 用 超 
短波 将 所 收 到 的 声音 发 射 到 直径 为 5 英里 的 范围 之 内 ， 用 一 个 灵敏 度 很 高 的 接收 机 就 能 
收 到 。 

美国 中 央 情 报 局 在 20 世纪 60 年 代 后 期 采用 集成 电路 生产 了 一 种 直径 0.25cm 的 无 线 电 
传送 器 ， 并 把 它 安装 在 苍蝇 背 上 。 执 行 任务 前 ， 他 们 会 让 苍蝇 先 吸入 一 口 神经 毒气 ， 使 它 
到 达 目 的 地 完成 窃听 器 的 布 放 后 很 快 死 去 。 

20 世纪 70 年 代 初 , 美国 中 央 情 报 局 利用 训练 过 的 饮 子 布 放 窃 听 器 。 他 们 把 微型 窃听 器 
系 在 钥 子 身上 ， 然 后 将 红色 激光 束 射 向 要 进行 窃听 的 窗户 上 ， 铅 子 就 乖乖 按照 激光 导向 ， 
飞 落 在 这 个 窗户 的 窗台 上 。 它 吸 一 下 按钮 ， 窃 听 器 便 脱 离 铝 身 ， 开 始 自动 工作 。 

在 冷战 时 期 美国 曾 进 行 过 一 项 代号 为 “声响 小 猫 ” 的 试验 。 他 们 在 猫 体内 放 入 和 窍 听 
器 、 电 池 和 线路 ， 猫 的 尾巴 被 用 作 天 线 。 按 照 中 情 局 原先 的 设想 ， 他 们 最 终 要 把 这 只 猫 变 
成 可 遥控 指挥 、 听 话 的 “高 级 间谍 ”。 只 是 由 于 试验 失败 ， 这 一 计划 才 被 迫 告吹 。 

随 着 科学 技术 新 成 就 的 不 断 出 现 ， 窃 听 技 术 越 来 越 升级 ， 其 方法 和 手段 越 来 越 多 ， 如 
激光 窃听 、 辐 射 窃听 等 新 的 窃听 技术 相继 问世 。 例 如 ， 由 于 激光 可 以 探测 到 物体 表面 极 微 
弱 的 振动 ，20 世纪 60 年 代 激 光 技 术 问 世 不 久 也 被 窃听 技术 专家 利用 ， 制 作出 激光 窃听 器 。 
这 样 ， 室 内 谈话 的 声音 所 引起 的 窗户 上 玻璃 的 轻微 振动 ， 可 以 用 激光 来 对 准 窗 玻 璃 发 射 ， 
再 用 一 个 激光 接收 器 接收 由 窗户 玻璃 反射 回来 的 激光 ， 还 原 成 声音 。 

可 以 说 ,在 今天 ， 人 们 都 不 知道 什么 地 方 没有 窃听 器 了 。 一 个 耐人寻味 的 故事 是 ，1955 
年 已 经 有 了 可 以 放 进 手表 中 的 窃听 器 ， 当 时 美国 在 柏林 的 特工 会 见 一 东 德 同 行 时 使 用 的 就 
是 这 种 监听 器 。 尽 管事 先 有 一 个 禁止 记录 谈话 的 协定 ， 但 谁 也 没有 遵守 。 没 想到 在 谈话 中 
美方 的 录音 机 出 了 毛病 ， 发 出 响声 。 而 德 方 人 员 还 以 为 是 自己 偷 带 的 录音 机 出 了 故障 ， 甚 
至 烛 粹 地 问 :“ 先 生 ， 是 您 的 录音 机 出 了 毛病 呢 ， 还 是 我 的 ? ” 
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1.2.3 ”电磁 波 窃 昕 
1. 电磁 波 窃听 的 种 类 


电磁 波 窍 听 是 截获 载 有 信息 的 电磁 波 的 窃听 手段 。 它 有 两 种 形式 ， 信 号 拦截 监听 和 电 
磁 泄 漏 监听 。 

1) 信号 拦截 监听 

信号 拦截 监听 也 称 为 搭 线 窍 听 ， 其 方法 是 在 被 监听 的 信道 加 装 信号 拦截 装置 。 例 如 ， 
将 窃听 器 的 两 根 接线 接 到 电话 线路 上， 直接 截 获 电话 线路 里 的 电流 信号 。“ 水 门 事件 ”就 属 
于 典型 的 搭 线 窍 听 。 为 了 隐蔽 ， 窃 听 者 常 把 窍 听 位 置 选 择 在 电话 线路 的 接线 盒 内 、 分 线 箱 
上 ， 尽 量 不 入 侵 室 内 。 现 在 已 有 自动 化 程度 很 高 的 旁听 设备 ， 一 旦 有 人 拿 起 手机 准备 打 电 
话 ， 电 话 集中 台 便 自 动 开始 工作 ， 数 字 显示 器 就 显示 出 该 电话 机 的 号 码 ， 自 动 报时 器 报告 
通话 开始 和 结束 的 时 间 ， 录 音 机 录 下 电话 内 容 。 此 外 ， 还 可 根据 电磁 感应 现象 ， 将 感应 线 
圈 设 置 在 电话 线 外 、 电 话机 下 ， 以 此 来 窍 听 电 话 内 容 。 

2) 电磁 泄漏 监听 

电磁 泄漏 是 指 电 子 设备 中 的 杂 散 能 量 向 外 扩展 ， 并 在 扩展 过 程 中 夹带 了 设备 所 处 理 的 
数据 信号 。 在 一 定 的 条 件 下 ， 在 一 定 的 距离 内 ， 重 新 复原 这 些 信息 已 经 不 是 难事 。 

1985 年 ， 在 法 国 召开 的 一 次 国际 计算 机 安全 会 议 上 ， 年 轻 的 荷兰 人 范 。 艾 克 当 着 各 国 
代表 的 面 ， 用 价值 仅仅 几 百 美元 的 器 件 对 普通 电视 机 进行 改造 ， 在 楼 下 的 汽车 内 ， 接 收 并 
显示 出 了 8 层 楼 上 计算 机 屏幕 上 显示 的 图 像 。 国 外 也 有 实验 表明 ， 银 行 计算 机 上 显示 的 密 
码 ， 况 在 马路 上 就 轻易 地 被 截获 了 。 

实际 上 ， 计 算 机 的 数字 信号 就 是 一 些 高 频 脉冲 信和 号。 这些 高 频 电 磁 信 号 会 产生 与 一 台 
小 型 电台 差不多 的 电磁 波 辐射 。 

最 早 用 来 捕获 电磁 波 泄漏 信号 的 设备 是 矿石 无 线 电 收报 窍 听 器 。 矿 石 收 音 机 ( 见 图 1.27) 
是 最 简单 的 无 线 电 接收 机 ， 由 长 导线 天 线 加 上 选 
择 信 号 频率 的 调谐 器 和 检 波 器 组 成 ， 因 为 检 波 器 
可 以 使 用 晶体 矿石 ， 所 以 称 为 矿石 收音 机 。 据 说 
矿石 收音 机 至 今 可 能 依然 被 间谍 使 用 ， 因 为 它 没 
有 振荡 器 ， 不 需要 电池 和 电能 ， 因 此 反 间谍 组 织 
不 能 侦 测 到 被 监听 的 频率 。 

1914 年 夏天 ， 第 一 次 世界 大 战 时 期 ， 在 法 国 
北部 一 座 幽 静 的 花园 里 停 着 一 辆 毫 不 起 眼 的 马 拉 
大 篷车 。 这 辆 车 里 安装 着 当时 英国 军事 情报 局 最 

I 先进 的 矿石 无 线 电 收报 穷 听 器 ， 用 它 来 穷 听 邻近 
德国 军队 的 无 线 电 联系 信号 。 

随 着 天 线 技术 的 进步 ， 人 们 已 经 可 以 捕捉 到 距离 更 远 、 强 度 更 弱 的 电磁 波 信 号 了 。 据 
美军 一 份 泄密 文件 透露 ， 驻 日 美军 楚 边 基地 是 美国 家 安全 局 遍布 全 球 的 情报 网 的 重要 一 环 ， 
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楚 边 通信 所 始 建 于 1957 年 ， 于 1962 年 完工 。 在 冷战 时 期 ， 美国 国家 安全 局 能 够 监听 到 苏 
联 的 所 有 密码 通信 ， 冷 战 结束 后 ， 由 于 所 处 地 理 位 置 的 独特 性 ， 楚 边 通信 所 非但 没有 被 拆 
除 ， 反 而 在 对 朝鲜 半岛 以 及 中 国 和 东南 亚 地 区 的 侦察 中 发 挥 着 不 可 替代 的 作用 。 图 1.28 为 
位 于 冲绳 美军 基地 的 楚 边 通信 所 内 ， 用 来 搜集 周边 国家 情报 的 天 线 “ 象 栏 ” 图 1.29 为 日 本 
在 三 泽 基 地 密布 的 球形 天 线 。 








图 1.28 美军 部 署 在 日 本 的 巨 形 雷达 天 线 “ 象 栏 ” 图 1.29 日 本 在 三 泽 基 地 密布 的 球形 天 线 


随 着 大 数据 处 理 技术 日 至 成 熟 ， 广 泛 进 行 电磁 泄漏 信号 的 监听 往往 可 以 获得 意 想不到 
的 有 价值 信息 。 


2. 电磁 波 窃 听 的 防范 


针对 电磁 泄漏 可 以 采取 如 下 一 些 对 抗 措施 。 

(1) 屏蔽 : 用 电磁 屏蔽 技术 ， 既 可 防止 电磁 波 外 泄 ， 又 可 防止 外 来 电磁 波 的 干扰 。 

(2) 隔离 ， 将 需要 重点 防护 的 设备 从 系统 中 分 离 出 来 ， 加 以 特别 保护 。 

(3) 使 用 低 辐射 计算 机 设备 ， 在 分 立 元 器 件 、 集 成 电路 、 连 线 器 和 阴极 射线 显示 器 等 
方面 采取 防 辐射 措施 。 

(4) 使 用 干扰 器 : 产生 电磁 噪声 ， 增 大 辐射 信息 被 截获 后 破解 还 原 的 难度 。 

(5) 滤波 : 在 电源 或 信号 线 上 加 装 合 适 的 滤波 器 ， 阻 断 传导 泄露 的 通道 。 

(6) 接地 :接地 可 以 使 杂 散 能 量 向 大 地 泄露 。 

(7) 数据 加 密 和 数据 隐藏 。 前 者 隐蔽 了 数据 的 可 读 性 ， 后 者 隐蔽 了 数据 的 可 见 性 。 


1.2.4 光缆 窃听 


一 直 以 来 ， 人们 都 认为 在 电缆 中 传输 的 信息 很 容易 通过 措 接 方式 窃取 ， 并 且 由 于 当 电 
缆 有 电流 通过 时 ， 在 导体 周围 会 产生 磁场 ， 设 备 足够 灵敏 就 能 感应 到 这 个 磁场 的 变化 ， 而 
无 须 物 理 分 割 导 体 的 金属 载体 ， 而 光缆 传输 则 非常 安全 。 

然而 ，2005 年 3 月 ， 美 国 “ 海 狼 ” 级 核潜艇 “吉米 。 卡 特 ” 号 〈 见 图 1.30) 的 服役 ， 
彻底 改变 了 人 们 的 认识 ， 这 是 因为 “吉米 。 卡 特 ” 号 潜艇 是 一 稻 专 攻 海 底 光缆 窃听 的 潜艇 。 
该 潜艇 具备 海底 光缆 窃听 功能 ， 配 备 有 专门 用 于 安装 窃听 装置 的 深 潜 器 ， 其 最 大 下 潜 深 
度 达到 610m， 通 过 坐 沉 海底 ， 释 放 深 潜 器 实施 窍 听 ， 或 者 将 窃听 装置 安装 到 光缆 上 长 
期 监听 。 
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实际 上 ， 美 国 早 在 20 世纪 90 年 代 中 期 就 进行 过 光缆 窃听 试验 ， 目 前 的 光缆 窃听 技术 已 
经 十 分 纯熟 。 据 美方 资料 透露 ， 对 光缆 进行 窍 听 主要 有 两 种 方式 ;光纤 窃听 和 中 继 站 窃听 。 

对 光缆 进行 窃听 的 技术 也 不 止 一 种 。 一 种 技术 是 将 含有 一 根 一 根 光纤 的 极 细 “针管 ” 
插入 光缆 内 护 套 ， 直 抵 光纤 。 于 是 ， 针 头 中 的 光纤 与 光线 中 的 光纤 连接 ， 光 束 会 被 部 分 引 
入 窃听 装置 。 而 光缆 中 的 光 强 衰减 并 不 影响 光缆 正常 工作 。 另 一 种 方法 是 将 光缆 剥 开 至 裸 
纤 ， 将 光 费 弯曲 到 临界 角度 ， 使 得 一 部 分 光线 从 光纤 中 折射 出 来 。 其 基本 方法 如 图 1.31 所 
示 ， 从 光纤 中 折射 出 来 的 光线 被 设备 中 的 光学 检测 设备 拾取 ， 然 后 发 送 给 光电 转换 设备 将 
光 信 和 号 转换 为 电信 号 ， 再 将 这 些 信 号 送 计算 机 分 析 。 











名 微型 弯曲 
线 钢 








回 光 波 检测 器 


光纤 包 层 - 






弯曲 的 光缆 - 泄漏 光波 


加 光电 转换 器 





图 1.30 美国 “ 海 狼 ” 级 核潜艇 “吉米 。 卡特” 号 图 1.31 弯曲 光缆 进行 窃听 


光纤 对 比 法 也 是 美国 较 常 用 的 窃听 方式 ， 让 与 激光 不 同 波段 的 光线 沿 光纤 的 径 向 射 过 
光纤 ， 从 而 得 到 相应 脉冲 信号 的 光 信号 ， 进 而 转换 成 电信 号 ， 达 到 窃听 目的 。 

而 中 继 站 窍 听 更 为 容易 ， 即 通过 打开 光缆 中 继 器 加 装 窃听 装置 实现 窃听 。 

不 过 ， 由 于 大 多 数 光纤 窃听 技术 都 会 导致 光纤 内 部 光束 能 量 的 微小 减弱 ， 因 此 检测 光 
纤 能 量 衰减 就 是 一 种 窃听 发 现 技 术 ， 其 中 就 包括 宽 波 带 能 量 监 测 ， 当 监测 到 的 通信 服务 下 
降 达 到 超过 一 定 闵 值 时 ， 就 认为 遭 到 攻击 。 

对 付 光缆 窃听 ， 除 了 检测 能 量 衰 减 外 ， 采 用 量子 通信 和 是 被 广泛 认可 的 技术 。 量 子 通信 
是 指 利用 “量子 纠缠 ”效应 进行 信息 传递 的 一 种 新 型 通信 方式 。 所 谓 “ 量 子 纠缠 ”"， 是 指 在 
微观 世界 里 ， 不 论 两 个 粒子 间距 离 多 远 ， 一 个 粒子 的 变化 都 会 影响 另 一 个 粒子 的 现象 。 这 
个 现象 被 爱 因 斯 坦 称 为 “诡异 的 互动 性 ”。 作 个 形象 的 比喻 , 纠缠 状态 下 的 量子 就 像 一 对 “ 心 
有 灵犀 ”的 骨 子 。 甲 、 乙 两 人 身 处 两 地 ， 各 拿 其 中 一 个 角 子 ， 甲 随意 撕 一 下 骨 子 是 5 点 ， 
与 此 同时 ， 忆 手中 的 角 子 就 自动 翻转 到 5 点 。 

量子 通信 涉及 量子 密码 通信 、 量 子 远程 传 态 和 量子 密集 编码 等 。 基 于 量子 力学 的 基本 
原理 ， 量 子 通信 具有 高 效 和 绝对 安全 等 特点 ， 因 此 成 为 国际 上 量子 物理 和 信息 科学 的 研究 
热点 。 这 门 学 科 已 逐步 从 理论 走向 实验 ， 向 实用 化 发 展 。 可 喜 的 是 ， 我 国 对 于 量子 通信 技 
术 的 研究 已 经 取得 了 重大 进展 。 据 报道 ， 我 国正 在 研制 可 以 自行 毁灭 的 量子 密 钥 ， 严 防 他 
国 间谍 试图 侦察 、 窃 听 和 窃取 量子 加 密 的 数据 。 目 前 ， 我 国 的 广 域 量子 通信 网 络 计划 已 经 
开始 实施 ， 未 来 2 一 5 年 ， 量 子 通信 技术 将 得 到 广泛 拓展 应 用 。 
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1.2.$S ”共享 网 络 中 的 窃 昕 


现在 实际 运行 的 计算 机 网 络 基本 上 是 一 种 如 图 1.32 所 示 的 “TCP/IP+ 以 太 网 ”结构 。 
在 这 种 网 络 中 ， 当 有 两 台 主机 通信 的 时 候 ， 源 主机 ( 记 为 A) TR 
发 往 目 的 主机 ( 记 为 B) 的 数据 包 , 要 先 在 运输 层 (TCP/UDP) 训 地 让 Tpp 
标记 上 端口 (进程 》 号 ， 在 网 际 层 加 上 主机 的 IP 地 址 ， 成 为 MAC 地 址 | 物理 网 
网 际 层 数据 包 。 但 是 ， 这 种 数据 包 不 能 在 IP 层 直接 传送 ， 必 图 132 现行 网 络 基本 结构 
须 再 交 给 网 络 接口 ， 在 物理 网 中 传送 。 然 而 ,物理 网 不 会 识别 
IP 地 址 ， 还 必须 添加 以 太 帧 头 信息 ， 分 别 为 只 有 物理 网 才能 识别 的 源 主机 和 目的 主机 的 物 
理 地 址 ， 它 们 是 与 卫 地址 相对 应 的 48 位 的 地 址 一 一 MAC 地 址 。 对 于 作为 网 关 的 主机 ， 由 
于 它 连 接 了 多 个 网 络 ， 该 MAC 地 址 对 应 着 很 多 个 IP 地 址 ， 即 该 MAC 地 址 在 每 个 网 络 中 
都 有 一 个 对 应 的 IP 地 址 ， 其 他 主机 则 是 一 个 物理 地 址 对 应 一 个 IP 地 址 。 

由 于 现在 的 物理 网 多 为 以 太 网 ,所 以 每 台 主机 的 MAC 地 址 实际 上 是 其 网 卡 的 编号 , 这 
个 网 卡号 是 全 世界 唯一 的 。 

网 卡 具有 如 下 4 种 工作 模式 。 

(1) 广播 模式 (broadcast mode)。 它 的 目的 地 址 是 OXffffff 的 帧 为 广播 帧 ， 工 作 在 广播 
模式 的 网 卡 接收 广播 帧 。 

(2) 多 播 模式 (multicast mode)。 多 播 传送 地 址 作为 目的 MAC 地址 的 帧 可 以 被 组 内 的 
其 他 主机 同时 接收 ， 而 组 外 主机 却 接收 不 到 。 但 是 ， 如 果 将 网 卡 设置 为 多 播 传 送 模 式 ， 它 
可 以 接收 所 有 的 多 播 传送 帧 ， 而 不 论 它 是 不 是 组 内 成 员 。 

(3) 直接 模式 (direct mode)。 工 作 在 直接 模式 下 的 网 卡 只 接收 目的 地 址 匹配 本 机 MAC 
地 址 的 数 帧 。 

(4) 混杂 模式 (promiscuous mode)。 工 作 在 混杂 模式 下 的 网 卡 接收 所 有 流 过 网 卡 的 帧 ， 
数据 包 捕获 程序 就 是 在 这 种 模式 下 运行 的 。 

网 卡 的 默认 工作 模式 包含 广播 模式 和 直接 模式 ， 即 它 只 接收 广播 帧 和 发 给 自己 的 帧 。 
如 果 采 用 混杂 模式 ， 一 个 站 点 的 网 卡 将 接收 同一 网 络 内 所 有 站 点 发 送 的 数据 包 ， 这 样 就 可 
以 达到 对 网 络 信息 进行 监视 和 捕获 的 目的 。 

早期 的 以 太 网 采用 的 是 总 线 结构 ， 即 各 人 台 主 机 使 用 集线器 (hub) 连接 。 这 时 ， 数 据 帧 
可 以 到 达 每 一 台 主机 。 当 网 卡 在 默认 模式 下 工作 时 ， 如 果 到 达 的 数据 帧 中 携带 的 物理 地 址 
是 自己 的 或 者 是 广播 地 址 , 则 将 数据 帧 交 给 上 层 协 议 软件 一 一 IP 层 软件 处 理 , 否则 就 将 这 
个 帧 丢弃 ， 即 数据 帧 只 能 被 与 目的 地 址 相符 的 主机 接收 。 但 是 ， 若 网 卡 的 工作 模式 被 设置 
成 混杂 模式 ， 这 台 主 机 就 可 以 接收 所 有 到 达 的 数据 帧 了 。 在 这 样 的 网 络 中 实施 监听 并 非 难 
事 ， 并 且 监听 可 以 在 网 上 的 任何 一 个 位 置 实施 ， 如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 
的 调制 解 调 器 之 间 等 。 

在 UNIX 系统 上 ， 当 拥有 超级 权限 的 用 户 要 想 使 自己 所 控制 的 主机 进入 监听 模式 ， 只 
需要 向 Interface〈 网 络 接口 ) 发 送 IO 控制 命令 ， 就 可 以 使 主机 设置 成 监听 模式 了 。 而 在 
Windows 9x 的 系统 中 ， 则 不 论 用 户 是 否 有 权限 ， 都 可 以 通过 直接 运行 监听 工具 进入 监听 
模式 。 
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1.2.6 手机 监听 
1. 手机 监听 概述 


随 着 手机 成 为 人 们 生活 中 不 可 或 缺 的 必需 品 ， 窃 听 开 始 与 手机 紧密 相连 ， 手 机 监听 的 
事件 也 层出不穷 。 1996 年 4 月 , 俄罗斯 车 臣 叛 乱 分 子 的 
头目 杜 达 耶 夫 因 手机 泄密 ， 被 俄 军 发 射 导弹 击 颖 。2002 
年 3 月 本 。 拉 登 的 得 力 助 手 、“ 基 地 ”组 织 的 二 号 人 物 阿 
布 。 祖 巴 耶 达 赫 因 使 用 手机 暴露 藏身 地 而 落网 。2013 年 
10 月 23 日 , 德国 媒体 报道 了 美国 情报 部 门 监听 德国 总 理 
默 克 尔 的 消息 ， 如 晴空 霹雳 ， 一 时 间 和 与 论 大 哗 ， 默 克 尔 














无 限 委 届 ， 恼 恩 万 分 见 图 1.33)。 nh 
一 般 说 来 ， 手 机 监听 的 技术 有 如 下 两 种 。 部 门 监听 的 默 克 尔 


1) 截获 手机 的 电磁 波 

一 般 说 来 ， 手 机 的 通信 过 程 就 是 使 用 手机 把 语音 信号 传输 到 移动 通信 网络 中 ， 再 由 移 
动 通信 网 络 将 其 变 成 电磁 频谱 ， 通 过 通信 卫星 辐射 漫游 传送 到 受 话 人 的 电信 网 络 中 ， 受 话 
人 的 通信 设备 接收 到 无 线 电磁 波 ， 再 转换 成 语音 信号 接 通 通信 网 络 。 手 机 使 用 的 无 线 信 道 
的 开放 性 ， 让 第 三 者 只 要 有 相应 的 接收 设备 ， 就 能 够 截获 任何 时 间 、 任 何 地 点 、 任 何人 的 
通话 信息 。 拦 截 距离 可 达 上 万 千 米 ， 有 效 监 听 距 离 与 地 球 同 步 通信 卫星 信号 覆盖 范围 几乎 
相等 。 

2) 安装 手机 “卧底 ”软件 一 一 木马 程序 

强大 的 卧底 软件 可 以 完成 如 下 一 些 监控 。 

(1) 隐秘 地 进行 环境 音效 拦截 监控 。 如 果 目 标 手 机 是 空闲 状态 ， 通 过 拨打 使 这 个 手机 
被 秘密 接 通 ， 卧 底 软件 会 自动 激活 目标 手机 的 免 提 麦克 风 而 不 会 有 任何 显示 ， 目 标 手 机 可 
以 清楚 地 传 回 周围 环境 的 声音 。 如 果 目 标 手 机 正在 使 用 中 或 者 目标 手机 的 使 用 者 按 了 任意 
键 ， 本 次 呼叫 将 会 被 秘密 断 开 ， 不 留 一 点 痕迹 。 

(2) 对 目标 手机 进行 定位 追踪 。 对 于 有 GPS 装置 的 手机 ， 卧 底 软件 可 以 清楚 地 确定 目 
标 手 机 的 经 纬度 坐标 以 及 定位 时 完整 的 地 图 显示 。 有 些 手机 虽然 没有 GPS 装置 ， 但 是 所 有 
手机 都 有 电话 身份 识别 功能 ， 手 机 卧底 软件 还 可 以 提供 基于 移动 基站 查询 定位 的 功能 。 

(3) 短信 监控 。 手 机 卧底 软件 可 以 根据 设置 ， 捕 获 目标 手机 发 送 、 接 收 的 短信 ， 使 窃 
听 者 可 以 在 远 端 查看 到 短信 的 内 容 、 对 方 号 码 、 发 送 /接收 时 间 等 信息 ， 如 果 对 方 号 码 在 目 
标 手机 的 通讯 录 〈 联 系 人 ) 存 有 姓名 ， 对 方 号 码 会 与 姓名 关联 ， 那 么 还 会 显示 对 方 的 这 个 
名 字 。 

(4) 电子 邮件 监控 。 手 机 卧底 软件 会 根据 设置 ， 捕 获 目 标 手 机 所 发 送 、 接 收 的 电子 邮 
件 信 息 并 上 传 到 手机 卧底 服务 器 。 

(5) 远程 遥控 。 手 机 卧底 软件 可 以 使 用 指令 对 目标 手机 进行 遥控 设置 ， 如 更 改 监控 号 
码 、 更 改 上 传 频 率 、 发 送 诊断 请 求 等 。 
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(6) 手机 卧底 软件 让 目标 手机 永 不 脱离 窃听 者 的 视线 。 当 目标 手机 更 换 SIM 卡 ( 手 机 
卡 ) 后 ， 手 机 卧底 软件 会 使 用 目标 手机 新 更 换 的 SIM 卡 以 秘密 短信 的 形式 把 监控 号 码 发 送 
给 监控 者 ， 告 知 SIM 卡 已 变更 的 信息 。 监 听 者 可 以 根据 此 信息 ， 对 目标 手机 新 的 号 码 进行 
监控 。 

有 一 些 监听 是 根据 手机 网 络 的 制式 特点 进行 的 。 下 面 讨论 针对 GSM 和 CDMA 这 两 种 
常用 手机 制式 的 监听 原理 。 

2. GSM 手机 监 

1) 利用 GSM 信道 漏洞 监听 

全 球 移动 通信 系统 (Global System for Mobile Communications，GSM) 是 世界 上 主要 的 
蜂窝 系统 之 一 。 GSM 是 采用 FDMA( 频 分 ) 与 TDMA (时 分 ) 制式 相 结 合 的 一 种 通信 技术 ， 


其 网 络 中 所 有 用 户 分 时 地 使 用 不 同 频 率 进行 通信 。 中 国 GSM 手机 采用 900MHz 频段 和 
1800MHz 频段 工作 。 表 1.4 为 GSM 工作 频段 的 具体 分 配 。 


表 1.4 中 国 GSM 工作 频段 分 配 














种 类 上 行 频段 /MHz 下 行 频段 /MHz 
GSM900 890~915 935~960 
GSM1800 1710~1785 1805~1880 


对 于 GSM900， 上 下 行 频段 的 各 25MHz 的 频率 范围 被 划分 为 124 个 不 同 的 信道 ， 每 个 
信道 带宽 为 200kbps， 每 个 信道 采用 TDMA 技术 分 为 8 个 时 除 ， 形 成 8 个 物理 信道 ， 理 论 
上 一 个 射频 允许 同时 进行 8 组 通话 。 所 以 GSM900 频段 在 同一 区 域内 可 同时 供 近 1000 个 用 
户 使 用 。 

GSM900 的 帧 时 长 为 4615Sms， 每 个 物理 信道 的 时 阶 长度 为 0.577ms， 即 把 时 间 分 割 成 
周期 性 的 帧 ， 每 一 帧 再 分 割 成 许多 个 时 除 。 之 后 根据 特定 的 时 隙 分 配 原 则 ， 使 移动 手机 用 
户 在 每 帧 中 按 指定 的 时 隙 向 基站 发 送信 号 。 基 站 分 别 在 各 自 指定 的 时 除 中 ， 接 收 到 不 同 的 
移动 手机 用 户 的 信号 ， 同 时 基站 也 按 规定 的 时 隙 给 不 同 的 移动 手机 用 户 发 射 信 号 。 各 移动 
用 户 在 指定 的 时 际 中 接收 信号 。 为 保证 在 同一 信道 上 的 用 户 可 以 相互 不 受 干扰 ，GSM 按 欧 
洲 和 亚洲 的 应 用 标准 采取 5 级 保护 。 

(1) 用 户 接 入 网 络 时 的 鉴 权 。 

(2) 移动 设备 识别 。 

(3) 无 线路 径 信号 加 密 。 

(4) 临时 识别 码 保护 。 

(5) 以 个 人 身份 识别 码 (Personal Identification Number，PIN) 保护 SIM 卡 。 

如 果 电 信 运 营 商 真 的 严格 执行 了 这 些 标准 ， 就 会 大 大 增加 监听 难度 。 但 现实 中 ， 有 些 
运营 商 往往 出 于 利益 目的 ， 使 这 些 标准 的 实施 有 可 能 不 完全 到 位 ， 形 成 一 些 漏洞 。 例 如 ， 
当 一 个 人 使 用 GSM 进行 通信 的 时 候 , 其 手机 和 GSM 网 络 将 对 本 次 会 话 用 一 个 临时 ID 和 会 
话 密 钥 进行 加 密 。 但 是 ， 由 于 GSM 的 加 密 算法 存在 缺陷 并 重复 地 使 用 相同 的 会 话 密 钥 ， 这 
样 ， 如 果 数 据 被 记录 ， 黑 客 会 很 快 而 且 很 容易 解密 会 话 密 钥 和 临时 ID ， 然 后 黑客 可 以 使 用 
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临时 ID 和 会 话 密 钥 去 伪造 该 号 码 的 通信 。 

2) 利用 接口 漏洞 监听 

从 信 令 〈signal， 电 信 网 中 的 控制 信号 ) 结构 上 看 ，GSM 系统 包括 如 下 一 些 接口 。 

(1) 移动 应 用 部 分 (Mobile Application Part，MAP ) 接口 。 

(2) A 接口 (GSM 网 络 子 系统 NSS 与 基站 子 系统 BSS 之 间 的 标准 接口 )。 

(3) ABIS 接口 (基站 控制 器 BSC 与 基站 收发 信 台 BTS 之 间 的 通信 接口 )。 

(4) UM 接口 (GSM 的 空中 接口 一 一 基站 与 移动 台 间 的 接口 )。 

这 些 接口 都 有 大 量 的 性 能 参数 和 配置 参数 ， 一 些 具体 参数 在 设备 完成 前 就 已 经 设 定好 
了 ， 这 里 面 本 身 就 存在 许多 漏洞 。 另 外 ， 一 般 人 不 知道 的 是 一 些 国外 生产 的 手机 也 都 是 留 
有 监听 接口 的 。 

3) 利用 其 他 漏洞 监听 

GSM 还 有 一 个 特点 是 其 发 射 功 率 较 大 ， 这 也 为 远程 监听 提供 了 一 些 条 件 。 

3. CDMA 手机 监听 


码 分 多 址 〈Code Division Multiple Access，CDMA) 是 在 扩 频 通信 技术 上 发 展 起 来 的 一 
种 九 新 而 成 熟 的 无 线 通信 技术 。 如 图 1.34 所 示 ， 它 将 需 传送 的 具有 一 定 信 号 带宽 的 数据 用 
一 个 带宽 远大 于 信号 带宽 的 高 速 伪 随 机 码 进 行 调制 ， 使 原 数据 信号 的 带宽 被 扩展 ， 再 经 载 
波 调制 并 发 送出 去 。 接 收 端 使 用 完全 相同 的 伪 随 机 码 对 接收 的 带宽 信号 做 相关 处 理 ， 把 宽 
带 信和 号 换 成 原 数据 的 罕 带 信号 ， 即 解 扩 ， 以 实现 信息 通信 。 
1 
0 


111101011001000111101011001000 




















111101011001000000010100110111 
FL VU Ge 


图 1.34 CDMA 扩 频 


CDMA 手机 所 使 用 的 WCDMA、TDCDMA、CDMAX 等 技术 , 均 是 理论 上 可 以 防止 低 
水 平 窃听 的 。 

(1) CDMA 采用 了 扩 频 技术 ， 可 以 使 其 信号 强度 比 GSM 小 得 多 。 

(2) CDMA 的 呼叫 都 使 用 相同 的 频率 ， 大量 的 CDMA 信号 共用 一 个 频谱 ， 大 大 增加 了 
监听 分 析 的 难度 。 

(3) CDMA 手机 各 自 的 信号 带 有 不 同 的 随机 码 ， 原 数据 信号 的 带宽 被 扩展 后 经 载波 
调制 发 射出 去 。 在 接收 端 则 使 用 完全 相同 的 高 速 伪 随机 码 ， 在 最 后 环节 才 将 接收 的 宽带 
信号 还 原 成 窗 带 信号 〈 解 扩 ) 来 实现 通信 的 。 随 机 码 的 使 用 也 大 大 增加 了 监听 分 析 的 
难度 。 

但 是 ， 所 有 这 些 并 不 能 保证 其 不 可 窗 听 ， 只 不 过 窃听 难度 要 比 GSM 难得 多 。 
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1.2.7 NFC 泄露 
1. 概述 


近 场 通信 (Near Field Communication，NFC) 是 一 种 由 非 接触 式 射 频 识 别 (RFID) 及 
其 互 连 技术 演变 而 来 的 短 距 高 频 的 无 线 电 技术 ， 最 先 由 飞利浦 半导体 〈 现 恩 智 浦 半导体 公 
司 )、 诺 基 亚 和 索尼 共同 研制 开发 。 

该 技术 规范 定义 了 两 个 NFC 设备 之 间 基 于 13.56MHz 频率 的 无 线 通信 方式 。 使 用 
NFC， 不 需要 卡 ， 也 不 需要 读 卡 器 ， 只 要 有 两 台 NFC 设备 ， 就 可 以 在 20cm 距离 内 进行 数 
据 交 换 ， 传 输 速 度 有 106kbps、212kbps 或 者 424kbps 三 种 。 

从 2006 年 诺基亚 公司 推出 第 一 部 NFC 手机 开始 ， 其 后 陆续 有 不 少 设备 加 入 了 NFC 功 
能 。 目 前 ，NFC Forum 在 全 球 拥有 数 百 个 成 员 ， 包 括 索尼 、 飞 利 浦 、LG、 摩 托 罗 拉 、NXP、 
NEC、 三 星 、 英 特 尔 、 中 国 移动 、 华 为 、 中 兴 等 公司 。 


2. NFC 在 手机 上 的 应 用 


NFC 技术 在 手机 上 应 用 主要 有 以 下 5 类 。 

(1) 接触 通过 〈Touch and Go)， 如 门禁 管理 、 车 票 和 门票 等 ， 用 户 将 存储 车 票证 或 门 
控 密 码 的 设备 靠近 读 卡 器 即 可 ， 也 可 用 于 物流 管理 。 

(2) 接触 支付 (Touch and Pay)， 如 非 接 触 式 移 动 支付 ， 用 户 将 设备 靠近 嵌 有 NFC 模块 
的 POS 机 可 进行 支付 ， 并 确认 交易 。 

(3) 接触 连接 (Touch and Connect)， 如 把 两 个 NFC 设备 相连 接 ， 进 行 点 对 点 
(Peer-to-Peer) 数据 传输 ， 例 如 下 载 音 乐 、 图 片 互 传 和 交换 通讯 录 等 。 

(4) 接触 浏览 (Touch and Explore)， 用 户 可 将 NFC 手机 接 靠近 街头 有 NFC 功能 的 智 
能 公用 电话 或 海报 ， 来 浏览 交通 信息 等 。 

(5) 下 载 接触 “Load and Touch)， 用 户 可 通过 GPRS 网 络 接收 或 下 载 信息 ， 用 于 支付 
或 门禁 等 功能 ， 如 前 述 ， 用 户 可 发 送 特定 格式 的 短信 至 家 政 服务 员 的 手机 来 控制 家 政 服 务 
员 进 出 住宅 的 权限 。 

也 就 是 说 ， 可 以 凭借 一 部 手机 走 忆 天 下 。 


3. NFC 数据 泄露 


近 距 离 通信 的 方便 性 ， 也 给 犯罪 者 以 有 机 可 乘 。 现 在 已 经 有 犯罪 分 子 近 距 离 获取 别人 
银行 卡 信息 的 报道 ， 所 以 有 关 媒 体 提醒 人 们 不 要 将 银行 卡 等 与 手机 放 在 一 起 ， 也 要 提防 别 
人 近 距 离 刷 走 自己 重要 卡 中 的 信息 。 


13 系统 扫描 型 攻击 


网 络 拓扑 结构 、 网 络 地 址 、 端 口 开放 状况 、 运 行 什么 样 的 操作 系统 、 存 在 哪些 漏洞 以 
及 用 户口 令 等 关系 到 信息 系统 的 运行 和 安全 状态 ， 它 们 都 可 以 称 为 信息 系统 敏感 数据 。 
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获取 与 网 络 有 关 的 敏感 数据 的 手段 是 网 络 扫描 ， 也 称 为 网 络 信息 采集 。 内 容 包括 地 址 
扫描 、 端 口 扫 描 和 漏洞 扫描 。 网 络 扫描 是 网 络 管理 人 员 进 行 网 络 维护 常用 的 手段 ， 也 是 攻 
击 者 进行 攻击 踩点 、 确 定 攻 击 目标 和 攻击 方法 的 基本 手段 。 

获取 用 户口 令 的 手段 是 口令 破解 。 攻 击 者 获得 了 用 户口 令 ， 就 可 以 冒充 合法 身份 进入 
被 攻击 系统 。 


1.3.1 网 络 扫描 


网 络 扫描 的 目的 是 判断 某 个 IP 地 址 上 有 无 活动 主机 或 某 台 主 机 是 否 在 线 、 到 达 该 目标 
的 路 由 以 及 有 关 端 口 的 打开 状况 。 


1. 地 址 扫描 


地 址 扫描 可 以 直接 使 用 操作 系统 的 有 关 命 令 进行 ， 下 面 是 几 种 常用 的 命令 。 

1) ping 命令 

ping 是 潜水 艇 人 员 的 专用 术语 ， 表 示 回 应 的 声 纳 脉 冲 。 在 网 络 中 ， 用 ping 命令 向 目标 
主机 发 送 ICMP 回 显 请 求 报 文 , 并 等 待 ICMP 回 显 应 答 ， 从 而 检测 网 络 的 连通 情况 和 分 析 网 

ping 命令 的 完整 格式 如 下 。 

ping [-t] [-a]l [-n count] [-1 size] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j 

computer-list] | [-k computer-list] [-w timeout] destination-list 

各 参数 的 含义 如 下 。 

-t: 不 断 ping 目标 主机 ， 直 至 中 断 。 

-a: 以 卫 地 址 格式 来 显示 目标 主机 的 网 络 地 址 。 

-ncount: 指定 要 ping 的 次 数 ， 默 认 值 为 4。 

-1 size: 指定 发 送 到 目标 主机 的 数据 包 的 大 小 ， 默 认为 32B， 最 大 值 是 65527B 。 

-f: 在 数据 包 中 发 送 “ 不 要 分 段 ” 标 志 ， 数 据 包 就 不 会 被 路 由 上 的 网 关 分 段 。 

-itl: 将 “生存 时 间 ” 字 段 设 置 为 tt 指定 的 值 。 

-vtos: 将 “服务 类 型 ”字段 设置 为 tos 指定 的 值 。 

-r count: 在 “记录 路 由 ”字段 中 记录 传 出 和 返回 数据 包 的 路 由 。count 可 以 指定 最 少 1 
台 ， 最 多 9 台 计 算 机 。 

-s count: 指定 count 指定 的 跃 点 数 的 时 间 戳 。 

-j computerlist: 利用 computer-list 指定 的 计算 机 列表 路 由 数据 包 。 连 续 计算 机 可 以 被 
中 间 网 关 分 隔 〈 路 由 稀疏 源 ) 的 IP 允许 的 最 大 数量 为 9。 
-k computerlist:， 利用 computer-list 指定 的 计算 机 列表 路 由 数据 包 。 连 续 计 算 机 不 能 
中 间 网 关 分 隔 ( 路 由 严格 源 ) 的 IP 允许 的 最 大 数量 为 9。 

-w timeout: 指定 超时 间隔 ， 单 位 为 毫秒 。 

destination-list: 指定 要 ping 的 远程 计算 机 。 
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2) tracert 命令 

tracert 是 一 个 路 由 跟踪 程序 ， 它 通过 向 目标 发 送 不 同 的 人 P 生存 时 间 (TTL) 值 的 ICMP 
回 显 数据 包 来 确定 到 目标 所 选择 的 路 由 。 tracert 程序 工作 时 , 首先 发 送 一 个 TTL=1 (ms〉 的 
回 显 数据 包 , 以 后 每 次 递增 1; 它 要 求 每 个 路 由 器 在 转发 数据 包 之 前 先 将 TTL 减 1, 当 TTL=0 
时 ， 路 由 器 将 返回 ICMP Time Exceeded。 这 样 ， 直 到 目标 响应 或 TTL 达到 最 大 值 后 ， 可 以 
根据 每 次 到 达 的 路 由 接口 列表 得 到 到 达 目 标的 路 由 信息 。 它 的 主要 选项 如 下 。 

-d: 防止 将 中 间 路 由 器 解析 为 它们 的 卫 地 址 。 

-h maximum_hops: 指定 搜索 到 目标 地 址 的 最 大 跳跃 数 ， 默 认 值 为 30。 

-j host_list: 是 一 系列 用 空格 分 隔 的 带 点 十 进 制 瑟 地 址 ,用 来 表示 一 系列 由 一 个 或 多 个 
路 由 器 隔 开 的 中 间 目 标 。 最 大 数量 为 9， 仅 在 IPv4 中 才 使 用 。 

-w timeout: 指定 超 时 时 间 间 隔 ， 程 序 默认 的 时 间 单 位 是 毫秒 。 默 认 值 为 4000。 

-4: 强制 tracert 使 用 IPv4。 

-6: 强制 tracert 使 用 IPv6。 

target_name: 目标 主机 的 名 称 或 也 地 址 。 

3) pathping 命令 

pathping 命令 是 一 个 路 由 跟踪 工具 ， 它 将 ping 和 tracert 命令 的 功能 与 这 两 个 工具 所 不 
提供 的 其 他 信息 结合 起 来 。 pathping 命令 在 一 段 时 间 内 将 数据 包 发 送 到 将 到 达 最 终日 标的 路 
径 上 的 每 个 路 由 器 ， 然 后 根据 从 每 个 跃 点 返回 的 数据 包 计 算 结 果 。 由 于 命令 显示 数据 包 在 
任何 给 定 路 由 器 或 链接 上 丢失 的 程度 ， 因 此 可 以 很 容易 地 确定 可 能 导致 网 络 问题 的 路 由 器 
或 链接 。 它 的 主要 选项 如 下 。 

-n hostnames: 不 将 地 址 解析 成 主机 名 。 

-h maximum hops: 搜索 目标 的 最 大 跃 点 数 。 

-g host-list， 沿 着 主机 列表 释放 源 路 由 。 

-p period: 在 ping 之 间 等 待 的 毫秒 数 。 

-q num_queries: 每 个 跃 点 的 查询 数 。 

-wtime-out: 每 次 等 待 回复 的 毫秒 数 。 

-i 地址: 使 用 指定 的 源 地 址 。 

-4 IPv4: 强制 pathping 使 用 IPv4。 

-6IPv6: 强制 pathping 使 用 IPv6。 

4) who 命令 


who 命令 主要 用 于 查看 当前 在 线 上 的 用 户 情况 。 它 的 主要 选项 如 下 。 

-a; 显示 所 有 用 户 的 所 有 信息 。 

-m: 显示 运行 该 程序 的 用 户 名 ， 和 who am 的 作用 一 样 。 

-q: 只 显示 用 户 的 登录 账号 和 登录 用 户 的 数量 ， 该 选项 优先 级 高 于 其 他 任何 选项 。 
-u: 在 登录 用 户 后 面 显示 该 用 户 最 后 一 次 对 系统 进行 操作 距 今 的 时 间 。 

-h: 显示 列 标题 。 
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5) ruser 命令 


ruser 是 一 个 UNIX 命令 ， 可 以 生成 登录 到 远程 机 的 用 户 列表 。 它 的 主要 选项 如 下 。 
-a; 即使 没有 用 户 登录 也 提供 报告 。 

-h: 按 主机 名 的 字母 顺序 排序 。 

-i 按 空 闪 时 间 排序 。 

-1l: 提供 类 似 于 who 命令 的 更 长 的 清单 。 

-u: 按 用 户 数量 排序 。 

6) finger 命令 


finger (端口 79) 是 一 个 UNIX 命令 ， 用 于 提供 站 点 及 用 户 的 基本 信息 。 它 的 主要 选项 
如 下 。 

-s: 显示 用 户 注册 名 、 实 际 姓名 、 终 端 名 称 、 写 状态 、 停 滞 时 间 和 登录 时 间 等 信息 。 

-1l: 除了 用 -s 选项 显示 的 信息 外 ， 还 显示 用 户主 目录 、 登 录 Shell、 邮 件 状 态 等 信息 ， 以 
及 用 户主 目录 下 的 .plan、.project 和 .forward 文件 的 内 容 。 

-p: 除了 不 显示 .plan 文件 和 .project 文件 以 外 ， 与 -1 选项 相同 。 

7) host 命令 


host 是 一 个 UNIX 命令 ， 可 以 把 一 个 主机 名 解析 到 一 个 网 络 地 址 或 把 一 个 网 络 地 址 解 
析 到 一 个 主机 名 ， 得 到 很 多 信息 ， 包 括 操作 系统 、 计 算 机 和 网 络 的 很 多 数据 。 它 的 必要 选 
项 如 下 。 

-a: 等 同 于 -v-t。 

-C: 在 需要 认证 的 域名 服务 器 上 查找 SOA 记录 。 

-d: 等 同 于 -v。 

-1: 列 出 一 个 域内 所 有 的 主机 。 

-i: 反 向 查找 。 

-N: 改变 点 数 。 

-r: 不 使 用 递归 处 理 。 

-R: 指定 UDP 包 数 。 

-T: 支持 TCP/IP 模式 。 

-v: 运行 时 显示 详细 的 处 理 信息 。 

-W: 永远 等 待 回复 。 

-W: 指定 等 待 回复 的 时 间 。 

-4: 用 于 IPv4 的 查询 。 

-6: 用 于 IPv6 的 查询 。 

8) netstat 

该 命令 可 以 使 用 户 了 解 到 自己 的 主机 是 怎样 与 因特网 相连 接 的 。 它 的 主要 选项 如 下 。 

-r: 显示 本 机 路 由 表 的 内 容 。 

-s: 显示 每 个 协议 (包括 TCP、UDP 和 卫 ) 的 使 用 状态 。 
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-n: 以 数字 表格 形式 显示 地 址 和 端口 。 
-a: 显示 所 有 主机 的 端口 号 。 


2. 端口 扫描 


在 TCP/IP 网 络 中 , 端口 号 是 主机 上 提供 的 服务 的 标识 。 例如 , FTP 服务 的 端口 号 为 21， 
Telnet 服务 的 端口 号 为 23，DNS 服务 的 端口 号 为 53，HTTP 服务 的 端口 号 为 80 等 。 入 侵 者 
知道 了 被 攻击 主机 的 地 址 后 ， 还 需要 知道 通信 程序 的 端口 号 。 一 个 打开 的 端口 就 是 一 个 潜 
在 的 入 侵 通 道 。 只 要 扫描 到 相应 的 端口 已 打开 ， 就 知道 目标 主机 上 运行 着 什么 服务 ， 以 便 
采取 针对 这 些 服务 的 攻击 手段 。 下 面 介绍 几 种 常用 的 端口 扫描 技术 。 

1) 全 连接 扫描 与 半 连 接 扫 描 


TCP 连接 通过 三 次 握手 (three-way handshake) 建立 。 图 1.35 表示 了 一 个 建立 TCP 连 
接 的 三 次 握手 过 程 。 若 主机 B 运行 一 个 服务 器 进程 ， 则 它 要 首先 发 出 一 个 被 动 打开 命令 ， 
要 求 它 的 TCP 准备 接收 客户 进程 的 连接 请 求 ， 然 后 服务 器 进程 就 处 于 “ 听 ” 状 态 ， 不 断 检 
测 有 无 客户 进程 发 起 连接 的 请 求 。 


主机 A_TCPA TCPe 主机 B 





连接 请 求 SYN=]1, ACK=0, SEQ=x 





二 
SYN=1，ACK=1，SEQ3，。 ACK31 一 确认 





确认 SYN=1, ACK=1, SEQ=x+1, ACK=y+1 





图 1.35 建立 TCP 连接 的 三 次 握手 过 程 

(1) 车 主机 A 中 运行 有 客户 进程 ， 当 它 需 要 服务 器 的 服务 时 ， 就 要 向 它 的 TCP 发 出 主 
动 连接 请 求 : 用 SYN=1 和 ACK=0 表示 连接 请 求 ， 用 SEQ=x 表示 选择 了 一 个 序号 。 主 机 B 
收 到 A 的 连接 请 求 报 文 ， 就 完成 了 第 一 次 握手 。 

(2) 主机 B 如 果 同 意 连 接 ， 其 TCP 就 向 A 发 回 确认 报 文 : 用 SYN=1 和 ACK=1 表示 
同意 连接 ， 用 ACK=x+1 表示 对 x 的 确认 ， 用 SEQ=y 表示 B 选择 的 一 个 序号 。 主 机 A 接收 
到 该 确认 报 文 ， 完 成 第 二 次 握手 。 

(3) 接着 ， 主 机 A 的 TCP 就 还 要 向 主机 B 发 出 确认 : 用 SYN=1 和 ACK=! 表示 同意 
连接 ， 用 ACK=y+1 表示 对 y 的 确认 ， 同 时 发 送 A 的 第 一 个 数据 SEQ=x+1。 主 机 B 收 到 主 
机 A 的 确认 报 文 ， 完 成 第 三 次 握手 过 程 。 

完成 这 样 一 个 三 次 握手 ， 才 算 建 立 了 可 靠 的 TCP 连接 ， 才 能 可 靠 地 传输 数据 报 文 ， 也 
可 以 获取 端口 是 否 开放 的 信息 。 这 种 扫描 称 为 全 连接 扫描 或 TCP connect 扫 描 。 但 是 ， 这 种 
扫描 往往 会 被 远程 系统 记 入 日 志 。 为 避免 被 记 入 日 志 ， 可 以 使 用 半 开 放 扫 描 一 一 TCP SYN 
扫描 。 因 为 , 当 客 户 端 发 出 一 个 SYN 连接 请 求 报 文 后 , 如 果 收 到 了 远程 目标 主机 的 ACK/SYN 
确认 ， 就 说 明和 远程 主机 的 该 端口 是 打开 的 ;而 车 没有 收 到 远程 目标 主机 的 ACK/SYN 确认 ， 
而 是 收 到 RST 数据 报 文 (表明 连接 出 现 了 问题 )， 就 说 明 远 程 主机 的 该 端口 没有 打开 。 这 样 

. . 














对 于 扫描 要 获得 的 信息 已 经 足够 了 ， 也 不 会 在 目标 主机 的 日 志 中 留 下 记录 。 这 种 扫描 称 为 
半 连 接 扫描 或 SYN 扫描。 

2) TCP FIN 扫描 

FIN 是 释放 连接 的 数据 报 文 , 表明 发 送 方 已 经 没有 数据 要 发 送 了 。 很 多 日 志 不 记录 这 类 
报 文 。TCP FIN 扫描 的 原理 是 向 目标 端口 发 送 FIN 报 文 ， 当 FIN 数据 包 到 达 一 个 关闭 的 端 
口 时 ， 会 返回 一 个 RST 的 回复 ， 当 FIN 数据 包 到 达 一 个 开放 的 端口 时 ， 该 包 将 被 忽略 ， 没 
有 回复 。 由 此 可 以 判断 一 个 端口 是 关闭 还 是 打开 的 。 这 种 方法 还 可 以 用 来 区 别 操作 系统 是 
Windows， 还 是 UNIX。 

这 种 方法 比 SYN 扫描 更 隐蔽 ,也 被 称 为 秘密 扫描 。 但 是 ， 有 的 系统 不 管 端口 打开 与 否 ， 
一 律 回 复 RST。 这 时 ，FIN 扫描 就 不 适用 了 。 
3) 认证 扫描 
前 面 介绍 的 扫描 方法 有 一 个 共同 特点 : 判断 一 个 主机 中 哪个 端口 上 有 进程 在 监听 。 
认证 扫描 的 特点 与 之 不 同 ， 它 是 利用 认证 协议 ， 获 取 运 行 在 某 个 端口 上 进程 的 用 户 名 
Cuserid)。 其 基本 思路 是 : 尝试 与 一 个 TCP 端口 建立 连接 ， 如 果 连 接 成 功 ， 扫 描 器 发 送 认 证 
请 求 到 目的 主机 的 TCP 端口 113。 

认证 扫描 同时 也 被 称 为 反 向 认证 扫描 ， 因 为 即使 最 初 的 RFC 建议 的 是 一 种 帮助 服务 器 
认证 客户 端的 协议 ， 然 而 在 实际 的 实现 中 也 考虑 了 反 向 应 用 ( 即 客户 端 认 证 服务 器 )。 

4) UDP ICMP 端口 不 能 到 达 扫 描 

这 种 方法 与 上 面 儿 种 方法 的 不 同 之 处 在 于 使 用 的 是 UDP。 由 于 这 个 协议 很 简单 ， 所 以 
扫描 变 得 相对 比较 困难 。 这 是 由 于 打开 的 端口 对 扫描 探测 并 不 发 送 一 个 确认 ， 关 闭 的 端口 
也 并 不 需要 发 送 一 个 错误 数据 包 。 不 过 ， 许 多 主机 在 一 个 未 打开 的 UDP 端口 上 收 到 一 个 数 
据 包 时 , 会 返回 一 个 ICMP_PORT_UNREACH 错误 ， 由 此 可 以 判断 被 扫描 端口 是 否 关闭 的 。 
UDP 和 ICMP 错误 都 不 保证 能 到 达 。 因 此 采用 这 种 扫描 还 必须 实现 在 一 个 包 看 上 去 是 丢失 
的 时 候 能 重新 传输 机 制 。 这 种 扫描 方法 是 很 慢 的 ， 并 且 需 要 具有 root 权限 。 

5) UDP recvfrom() 和 write() 扫 描 

当 非 root 用 户 不 能 直接 读 到 端口 不 能 到 达 错 误 时 , Linux 能 间接 地 在 它们 到 达 时 通知 用 
户 。 例如， 对 一 个 关闭 的 端口 的 第 2 个 write0 调 用 将 失败 。 在 非 阻塞 的 UDP 套 接 字 上 调用 
recvfrom() 时 ， 如 果 ICMP 出 错 还 没有 到 达 时 会 返回 EAGAIN ( 重 试 )。ICMP 到 达 时 返回 
ECONNREFUSED (连接 被 拒绝 )。 这 也 是 用 来 查看 端口 是 否 打开 的 一 项 技术 。 

6) 乱 序 扫描 

乱 序 扫描 就 是 对 扫描 的 端口 号 集合 随机 地 产生 扫描 顺序 ， 并 且 每 次 的 扫描 顺序 不 同 。 
这 就 给 入 侵 检测 系统 的 发 觉 端口 扫描 带 来 困难 。 
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3. 网 络 扫描 工具 


1) NMap 


网 址 : http://www.insecure.org/nmap。 

NMap 是 运行 在 Linux/UNIX 下 的 一 个 功能 非常 强大 的 扫描 工具 ， 被 称 为 扫描 之 王 。 它 
多 种 协议 (如 TCP、UDP、ICMP 等 ) 扫描 ， 可 以 用 来 查看 有 哪些 主机 以 及 其 上 运行 何 
务 。 

NMap 的 扫描 方式 如 下 。 

(1) TCP connect 扫描 。 

(2) TCP SYN (half open) 扫描 。 

(3) TCP FIN、Xmas 或 NULL (stealth) 扫描 。 

(4) TCP ftp proxy (bounce attack) 扫描 。 

(5) 使 用 也 分 片 包 的 SYN/FIN 扫描。 

(6) TCP ACK 和 Window 扫描 。 

(7) UDP raw ICMP port unreachable 扫描 。 

(8) ICMP ping 扫描 。 

(9) TCP ping 扫描 。 

(10) Direct (non portmapper) RPC 扫描 。 

(11) 通过 TCP/IP 堆栈 探测 远程 主机 操作 系统 和 Reverse-ident 扫描 等 。 

2) SuperScan 


SuperScan ( 见 图 1.36) 是 一 款 Windows 平台 上 的 具有 TCP connect 端口 扫描 、ping 和 
解析 等 功能 的 工具 ， 能 较 容易 地 做 到 对 指定 范围 内 的 IP 地 址 进行 ping 和 端口 扫描 。 
SuperScan 的 功能 如 下 。 

(1) 通过 ping 来 检验 IP 是 否 在 线 。 

(2) IP 和 域名 相互 转换 。 

(3) 检验 目标 计算 机 提供 的 服务 类 别 。 

(4) 检验 一 定 范围 的 目标 计算 机 是 否 在 线 和 端口 情况 。 

(5) 工具 自 定义 列表 检验 目标 计算 机 是 否 在 线 和 端口 情况 。 

(6) 自 定义 要 检验 的 端口 ， 并 可 以 保存 为 端口 列表 文件 。 

(7) SuperScan 自 带 一 个 木马 端口 列表 trojans.lst， 通 过 这 个 列表 可 以 检测 目标 计算 机 是 
木马 ， 也 可 以 自己 定义 修改 这 个 木马 端口 列表 。 

3) Wireshark 


Wireshark《〈 见 图 1.37) 是 一 个 网 络 封包 分 析 软 件 ， 其 功能 是 截取 流 经 本 地 网 卡 的 数据 
而 对 其 进行 分 析 。 通 常 的 应 用 包括 网 络 管理 员 用 来 解决 网 络 问题 ， 网 络 安全 工程 师 























来 


检测 安全 隐患 ， 开 发 人 员 用 来 测试 协议 执行 情况 ， 读 者 用 来 学 习 网 络 协议 。 
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超时 设置 os) [2000 


要 时 设置 es) 2000 





扫 扩 类 型 Data 个 Data + ICIF 
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清除 所 选 | 。 清除 所 有 


订 TCP 端口 扫 撕 要 时 设置 ps) |4000 


MY -| 全。 扫 手 类 型 “六 直接 连接 ff sy 
下 PP 
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图 1.36 SuperScan 主 界面 


The Wirezhark Wetwork Analyzer 

文件 中 机 各 台 ) 视图 GD 定位 G) 抓 外 CC) 分 析 WD 统计 信 电信 GO， 工具 CD 可 助 Q 

肌 计 信人 i 亲 | 已 因 关 必 品 | 人 “外国 卫 和 业 | 国 和 所 有 四 | 硬 回 蝎 ~ 
清除 应 用 


名 转口 列表 打 全 网 阁 站 点 
半天 拓 (和合 妥 和 生性 和 x 六 得 各 
在 涩 接口 所 包 


遍 抓 包 参 数 全 抓 包 样 全 
疝 萤 丘 的 参 枯 于 息 医生 请 瑟 要 尼 二 本 区 全 的 拓 名 六 人 命 安全 
2 


osark 工 作 吕 区 拓 全 


下 盾 户 指导 


再 = 拉 村 (二 发 原 ， 和 性 生 说 








图 1.37 Wireshark 主 界面 
图 形 界面 的 Wireshark 使 用 十 分 便捷 ， 选 取 监 听 的 网 卡 之 后 ， 主 界面 中 会 显示 所 有 的 数 
据 流 量 。 双 击 任意 条 目 ， 则 可 以 根据 协议 的 层次 拆 分 该 数据 流 。Wireshark 内 置 了 基本 的 网 
络 协议 ， 可 以 方便 地 查询 包括 但 不 局 限于 IP、TCP、UDP、HTTP、FTP 和 SMB 等 常见 的 
协议 内 容 。 
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1.3.2 ”漏洞 扫描 


系统 安全 漏洞 也 称 为 系统 脆弱 性 〈(vulnerability)， 是 系统 缺陷 和 不 足 。 管 理 人 员 可 以 通 
过 漏洞 扫描 对 所 管理 的 系统 和 网 络 进行 安全 审计 ， 检 测 系统 中 的 安全 脆弱 环节 ， 所 以 也 称 
为 网 络 安全 扫描 。 攻 击 者 则 可 以 通过 漏洞 扫描 找到 入 侵 攻击 的 缺口 实施 攻击 。 

常言 道 :“ 苍 蝇 不 叮 无 颖 的 蛋 。” 对 于 信息 系统 的 攻击 基本 上 都 是 利用 系统 的 漏洞 进行 
的 。 非 法 用 户 可 利用 系统 安全 漏洞 获得 计算 机 系统 的 额外 权限 ， 在 未 经 授权 的 情况 下 访问 
或 提高 其 访问 权 ， 和 危害 计算 机 系统 的 正常 运行 。 

攻击 者 扫描 到 系统 的 漏洞 , 测试 出 日 标 主机 的 漏洞 信息 后 , 往往 会 先 通 过 使 用 插件 ( 功 
能 模块 技术 ) 进行 模 拟 攻击 ， 或 者 采用 漏洞 库 的 匹配 方法 ， 制 定 出 攻击 的 策略 。 网 络 管理 
者 也 会 针对 这 些 漏 洞 制定 相关 对 策 。 

1. 系统 安全 漏洞 的 类 型 

对 于 漏洞 可 以 从 不 同 的 角度 进行 分 类 ， 来 讨论 它们 的 特点 。 

1) 基于 触发 主动 性 的 漏洞 分 类 

(1) 主动 触发 漏洞 。 该 漏洞 可 以 被 攻击 者 直接 用 于 攻击 ， 如 直接 访问 他 人 计算 机 。 

(2) 被 动 触发 漏洞 。 这 种 漏洞 必须 有 计算 机 操作 人 员 配 合 才 能 起 作用 。 例 如 ， 攻 击 者 
给 某 人 发 一 封 带 有 特殊 的 jpg 图 片 文件 的 邮件 ,接收 者 只 有 打开 该 图 片 文件 ,， 才 会 导致 某 个 
漏洞 被 触发 ， 使 系统 被 攻击 ， 若 接收 者 不 看 这 个 图 片 ， 则 不 会 受 攻 击 。 

2) 基于 发 现时 间 的 漏洞 分 类 

(1) 已 发 现 很 久 的 漏洞 。 厂 商 发 布 补丁 或 修补 方法 已 经 有 一 段 时 间 ， 广 为 知晓 。 由 于 
很 多 人 已 经 进行 了 修补 ， 因 此 宏观 危害 较 小 。 

(2) 刚 发 现 的 漏洞 。 厂 商 刚 发 布 补丁 或 修补 方法 ， 知 道 的 人 还 不 多 。 这 种 漏洞 相对 于 
已 发 现 很 久 的 漏洞 危害 性 较 大 ， 若 此 时 使 用 蠕虫 或 傻瓜 化 程序 ， 就 会 导致 大 批 系 统 受 到 
攻击 。 

(3) 0day 漏洞 。 还 没有 公开 ， 或 因 私下 交易 而 形成 的 漏洞 。 这 类 漏洞 会 导致 目标 受到 
精确 攻击 ， 和 危害 非常 大 。 

3) 基于 系统 或 部 位 的 漏洞 分 类 

(1) 操作 系统 漏洞 。 指 计算 机 操作 系统 本 身 所 存在 的 问题 或 技术 缺陷 。 操 作 系统 产品 
提供 商 通常 会 定期 对 已 知 漏洞 发 布 补丁 程序 提供 修复 服务 。 

(2) Web 服务 器 漏洞 。 主 要 包括 物理 路 径 泄露 、CGI 源 代 码 泄 露 、 执 行 任 意 命 令 、 绥 
冲 区 溢出 、 拒 绝 服务 、SQL 注入 、 条 件 竞争 和 跨 站 脚本 执行 漏洞 。 

(3) 不 同 服务 相互 感染 漏洞 。 有 时 候 在 一 台 服 务 器 上 会 运行 多 种 网 络 服务 ， 如 Web 服 
务 、FTP 服务 等 。 这 就 很 可 能 会 造成 服务 之 间 的 相互 感染 ， 攻 击 者 只 要 攻击 一 种 服务 ， 就 
可 以 利用 相关 的 技术 作为 平台 ， 攻 陷 另 一 种 服务 。 

(4) 数据 库 服务 器 漏洞 。 如 某 些 数据 库 服务 器 在 处 理 请 求 数据 时 存在 缓冲 区 溢出 漏洞 ， 
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远程 攻击 者 可 能 利用 此 漏洞 控制 服务 器 ， 向 数据 库 服务 器 发 送 畸 形 请 求 触 发 漏洞 ， 最 终 导 
致 执行 任意 指令 。 

(5) 应 用 程序 漏洞 。 这 种 漏洞 由 应 用 程序 编写 时 的 错误 导致 。 目 前 ， 大 部 分 应 用 程序 
都 有 数 百 万 行 代码 。 但 人 们 只 需要 几 分 钟 就 可 以 开启 后 门 或 者 安放 “定时 炸弹 ”。 

(6) 内 存 履 盖 漏 洞 。 内 存 履 盖 漏 洞 主要 为 内 存单 元 可 指定 ， 写 入 内 容 可 指定 。 这 样 就 
能 执行 攻击 者 想 执行 的 代码 (如 缓冲 区 溢出 漏洞 、 格 式 化 字符 串 漏洞 、 PTrace 漏洞 、Windows 
2000 的 硬件 调试 寄存 器 用 户 可 写 漏洞 ) 或 直接 修改 内 存 中 的 机 密 数据 。 

4) 基于 成 因 的 漏洞 分 类 

(1) 操作 性 漏洞 。 可 以 分 为 两 种 情形 。 

@ 写 入 内 容 被 控制 。 导 致 可 伪造 文件 内 容 、 权 限 提升 或 直接 修改 重要 数据 (如 修改 存 
贷 数 据 )。 

@ 内 容 信 息 被 输出 ,包含 内 容 被 打印 到 屏幕 、 记 录 到 可 读 的 日 志文 件 、 产 生 可 读 的 core 
文件 等 。 

(2) 配置 漏洞 。 可 以 分 为 如 下 两 种 。 

@ 系统 配置 漏洞 。 多 源 于 管理 员 玻 漏 ， 如 共享 文件 配置 漏洞 、 服 务 器 参数 配置 漏洞 、 
使 用 默认 参数 配置 的 漏洞 等 。 

@ 网 络 结构 配置 漏洞 。 多 与 网 络 拓扑 结构 有 关 ， 如 将 重要 设备 与 一 般 设 备 设置 在 同一 
网 段 等 。 

(3) 协议 漏洞 。 这 种 漏洞 主要 源 于 Internet 上 的 现行 协议 在 设计 之 初 仅 考虑 了 效率 和 可 
靠 性 ， 没 有 考虑 安全 性 。 这 类 漏洞 很 多 。 后 面 将 要 介绍 的 ARP 欺骗 、IP 源 地 址 欺骗 、 路 由 
欺骗 .TCP 会 话 动 持 ,DNS 欺骗 和 Web 欺 骗 等 都 是 由 于 协议 漏洞 引起 的 ,此 外 还 有 UDP Flood 
(循环 ) 攻击 (基于 UDP 端口 漏洞 )、SYN Flood 攻击 、Land 攻击 、Smnurt 攻击 、WinNuke 
攻击 、Fraggle 攻击 和 Ping to death 攻击 等 都 源 于 相关 协议 漏洞 。 

(4) 程序 漏洞 。 程 序 漏洞 缘 于 程序 设计 的 复杂 性 、 程 序 设计 语言 的 漏洞 和 运行 环境 的 
可 预见 性 。 下 面 是 一 些 常见 程序 漏洞 。 
@ 缓冲 区 溢出 漏洞 。 
@ 格式 字符 串 漏洞 。 
@ BIND 漏洞 。 
@ Finger 漏洞 。 
@ SendMail 漏洞 。 


2. 常用 漏洞 扫描 器 
目前 已 经 开发 出 了 大 量 的 扫描 器 。 下 面 仅 列举 几 例 。 
1) ISS/SAFESuite〈 应 用 层 风 险 评估 工具 ) 


ISS 〈Internet Security Scanner) 始 于 1992 年 ， 最 初 由 Christopher Klaus 发 布 ， 是 一 个 
小 小 的 开放 源 代码 扫描 器 ， 但 功能 强大 ， 不 过 价格 也 昂贵 。 
它 可 以 用 来 检查 使 用 TCP/IP 网 络 连接 的 主机 是 否 会 受到 攻击 ， 可 以 扫描 以 下 漏洞 : 
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@ 一 些 默认 的 包头 ， 如 是 否 存在 guest、bbs 等 。 

@ 全 包头。 

@®@ Decode Alias。 

@ Sendmail。 

@ 匿名 FTP。 

© NIS。 

@ NFS。 

rusers。 

SAFESuite 是 ISS 的 最 新 版 本 ， 功 能 更 强 ， 效 率 更 高 ， 不 仅 可 以 运行 在 UNIX 下 ， 还 可 
以 运行 在 Windows 下 。 它 不 仅 能 广泛 检查 各 种 服务 ， 还 能 对 所 发 现 的 漏洞 提供 如 下 信息 。 

@ 位 置 。 

@ 有 关 描 述 。 

@ 正确 的 应 对 建议 。 

2) Nessus 


Nessus〈 见 图 1.38) 是 一 款 可 以 运行 在 Linux、BSD、Solaris 以 及 其 他 一 些 系统 上 的 远 
程 漏洞 扫描 与 分 析 软 件 ， 它 采用 B/S 架构 的 方式 安装 ， 以 网 页 的 形式 向 用 户 展现 。 用 户 登 
录 之 后 可 以 指定 对 本 机 或 者 其 他 可 访问 的 服务 器 进行 漏洞 扫描 。Nessus 的 扫描 程序 与 漏洞 
库 相 互 独立 ， 因 而 可 以 方便 地 更 新 其 漏洞 库 ， 同 时 提供 多 种 插件 的 扩展 和 一 种 语言 NASL 
(Nessus Attack Scripting Language) 用 来 编写 测试 选项 ， 极 大 地 方便 了 漏洞 数据 的 维护 、 更 
新 。 在 扫描 完成 后 ，Nessus 还 可 以 生成 详尽 的 用 户 报 告 ， 包 括 脆弱 性 、 漏 洞 修补 方法 以 及 
和 危害 级 别 等 ， 以 方便 后 续 加 固 工作 。 





Scans Reporks Scans Policies Users Configuration 


@ Add Scan 





图 1.38 Nessus 主 界面 


3) Mysfind 


Mysfind 是 著名 的 扫描 器 pfind 的 加 强 版 ， 主 要 用 于 扫描 Printer 漏洞 和 Unicode 漏洞 。 
Printer 漏洞 可 以 让 攻击 者 取得 系统 的 控制 权 ，Unicode 可 以 让 攻击 者 随意 操作 系统 内 的 文件 
甚至 完全 控制 系统 。 它 采用 多 线程 扫描 系统 漏洞 ， 速 度 快 ， 结 果 准 。 

Mysfind 是 一 个 命令 行程 序 ， 格 式 如 下 : 
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sfind 漏洞 类 型 开始 IP 地 址 结束 IP 地 址 

它 有 3 种 扫描 方式 。 

-all: 扫描 所 有 漏洞 。 

-e: 扫描 Printer 漏洞 ， 可 以 让 攻击 者 取得 系统 的 控制 权 。 

-u: 扫描 Unicode 漏洞 ， 可 以 让 攻击 者 随意 操作 计算 机 内 的 文件 甚至 完全 控制 系统 。 

扫描 结束 以 后 ， 结 果 自 动 保 存在 sfind.txt 文件 中 。 

4) X-Scan 

义 -Scan 能 够 扫描 大 范围 网 段 中 存在 漏洞 的 主机 。 它 采用 多 线程 方式 对 指定 IP 地 址 (或 
单机 ) 进行 安全 漏洞 检测 ， 支 持 插 件 功能 ， 可 以 在 图 形 和 命令 两 种 界面 下 操作 ， 扫 描 内 容 
包括 远程 操作 系统 类 型 及 版 本 、 标 准 端口 状态 、 端 口 BANNER 信息 、SNMP 信息 、CGI 漏 
洞 、IIS 漏洞 、RPC 漏洞 、SQL-Server、FTP-Server、SMTP-Server、POP3-Server、NT-Server 
和 注册 表 信 息 等 。 

5) Zenoss 

Zenoss 是 商业 服务 器 监控 工具 Zenoss Enterprise 的 一 个 开源 版 本 ， 全 部 由 Python 语言 
编写 。 它 支持 Nagios plugin format (Nagios 插件 格式 )， 所 以 许多 Nagios 的 插件 也 可 以 用 于 
Zenoss。Zenoss 的 一 个 突出 的 地 方 是 它 强 大 而 又 容易 使 用 的 用 户 接 口 。 

6) AppScan 

AppScan 是 IBM 公司 推出 的 一 款 Web 应 用 安全 测试 工具 ， 它 采用 黑 盒 测 试 的 方式 ， 可 
以 扫描 常见 的 Web 应 用 安全 漏洞 。 

7) Nikto 

Nikto 是 一 款 非 常 全 面 的 Web 扫描 器 ， 能 在 200 多 种 服务 器 上 扫描 出 2000 多 种 有 潜在 
危险 的 文件 .CGI 及 其 他 问题 。 它 也 使 用 LibWhiske 库 , 但 通常 比 Whisker 更 新 得 更 为 频繁 。 

8) N-Stealth 

N-Stealth 是 ZMT 公司 出 品 的 一 款 商 业 的 Web 站 点 安全 扫描 软件 ， 同 时 也 有 可 以 免费 
使 用 的 版 本 ， 只 是 功能 没有 商业 版 本 的 多 ， 漏 洞 库 也 不 支持 自动 更 新 。 
实验 2 系统 扫描 

1. 实验 目的 

(1) 了 解 扫 描 攻击 的 基本 原理 。 

(2) 掌握 常用 扫描 工具 的 基本 用 法 。 

(3) 学 习 扫描 器 程序 设计 的 基本 方法 。 


2. 实验 内 容 
(1) 使 用 两 种 扫描 器 软件 进行 扫描 ， 包 括 SATAN、 流 光 、CIS 和 SuperScan 等 。 对 扫 
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描 结 果 进 行 统计 分 析 ， 并 提出 被 扫描 系统 的 安全 改进 方案 。 

(2) 比较 两 种 扫描 器 的 功能 、 特 点 和 效果 。 

(3) 演示 自己 设计 的 端口 或 漏洞 扫描 程序 ， 并 记录 演示 的 扫描 过 程 及 结果 。 

(4) 建立 漏洞 库 。 

(5) 运行 自己 设计 的 、 基 于 漏洞 库 的 、 高 效率 的 扫描 软件 ， 用 它 进 行 端口 和 漏洞 扫描 ， 
进行 主机 脆弱 性 分 析 。 


3. 实验 准备 


(1) 设计 实验 的 环境 。 

(2) 比较 儿 种 常用 的 扫描 器 ， 选 定 一 两 种 实用 扫描 器 。 

(3) 设计 使 用 扫描 器 的 步骤 。 

(4) 设计 漏洞 库 建 立 的 方法 和 步骤 。 

(5) 设计 一 个 可 以 演示 扫描 过 程 和 结果 的 扫描 器 程序 。 

(6) 设计 一 个 基于 漏洞 库 设 计 并 实现 一 个 高 效率 的 扫描 软件 ， 可 以 进行 端口 和 漏洞 扫 
描 ， 并 可 以 进行 主机 脆弱 性 分 析 。 

4. 推荐 的 分 析 讨 论 内 容 

(1) 分 析 网 络 扫描 器 在 网 络 管理 和 网 络 安全 方面 的 作用 。 

(2) 其 他 发 现 或 想到 的 问题 。 
1.3.3 口令 破解 

口令 机 制 是 资源 访问 的 第 一 道 关 口 。 攻 破 了 这 道 关 口 ， 就 打开 了 进入 系统 的 第 一 道 大 
门 。 所 以 口令 攻击 是 入 侵 者 最 常用 的 攻击 手段 。 口 令 攻 击 可 以 从 破解 口令 和 屏蔽 口令 保护 
两 个 方面 进行 。 下 面 主要 介绍 口令 破解 技术 。 

1. 口令 破解 的 基本 技术 

口令 破解 首先 要 获取 口令 文件 ， 然 后 采取 一 定 的 攻击 技术 进行 口令 的 破解 。 下 面 介绍 
口令 破解 的 基本 方法 。 

1) 口令 字典 猜测 破解 法 

攻击 者 基于 某 些 知识 ， 编 写 出 口令 字典 ， 然 后 对 字典 进行 穷 举 或 猜测 攻击 。 表 1.5 为 口 
令 字典 的 构造 方法 。 

目前 ，Internet 上 已 经 提供 了 一 些 口令 字典 ， 从 一 万 到 几 十 万 条 ， 可 以 下 载 。 此 外 ， 还 
有 一 些 可 以 生成 口令 字典 的 程序 。 利 用 口令 字典 可 以 通过 猜测 方式 进行 口令 破解 攻击 。 

2) 穷 举 破解 法 

有 人 认为 使 用 足够 长 的 口令 或 者 使 用 足够 完善 的 加 密 模式 ， 就 不 会 被 攻破 。 事 实 上 没 
有 攻 不 破 的 口令 ， 这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 机 能 尝试 字母 、 数 字 、 特 
殊 字 符 的 所 有 组 合 ， 将 最 终 能 破解 所 有 的 口令 。 这 种 类 型 的 攻击 方式 通过 穷 举 口令 空间 获 
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表 1.5 口令 字典 的 构造 方法 









































序号 口令 类 型 实例 序号 口令 类 型 实 例 
i 规范 单词 | computer 19 ”| 医药 词汇 vitamin 
2 ”| 反 写 规范 单词 | retupmoc 20 “| 技术 词汇 Ruter 
3 “| 词 首 正规 大 写 Computer 21 | 商品 beer 
4 ”| 反 拼写 与 反 大 写 computeR 22 “| 用 户 标识 符 woode 
5 “| 缩写 TCP 23 ”| 反 写 用 户 标识 符 cdoow 
6 “| 带 点 缩写 TCP 24 “| 串 接 用 户 标识 符 woodc-woode 
7 “| 缩写 后 带 点 TCP 25 “| 截 短 用 户 标识 符 woo 
8 略 写 etc. 26 ”| 串 接 用 户 标识 符 并 截 短 woodcwood 
9 “| 专 有 名 词 缩写 ， 带 点 Ph.D 27 “| 单字 符 构 成 串 bbbbbb 
10 ”| 专 有 名 词 缩写 ， 不 全 大 写 kHz 28 ”| 键盘 字母 asdfgh 
11 | 姓 Bush 29 | 文化 名 人 Beethoven 
12 | 名 年 月 日 040723 
13 “| 所 有 格 5863583 
14 “| 动词 变化 See, Sees, SaW' Seei 214036 
15 | 复数 33 | 证件 号 码 20010612345 
16 | 法律 用 语 34 “| 门牌 号 码 AB3579 
17 | 地 名 ( 城 街 / 山 / 河 等 ) 车 牌号 码 苏 -w12345 
18 | 生物 词汇 be | i: : 


得 用 户口 令 ， 称 为 穷 举 破解 法 或 蛮 力 破解 ， 也 称 为 强行 攻击 。 例 如 先 从 字母 a 开始 ， 尝 试 
aa、ab、ac、…， 然 后 尝试 aaa、aab、aac、…。 

3) 组 合 破解 法 

词典 破解 法 只 能 发 现 词典 单词 口令 ， 但 是 速度 快 。 穷 举 破解 法 能 发 现 所 有 的 口令 ， 
但 是 破解 时 间 很 长 。 pie pep 字母 和 数字 ， 用 户 的 对 策 是 在 口令 后 
面 添加 几 个 数字 ， 如 把 口令 computer 变 成 computer99。 使 用 强行 破解 法 又 非常 费时 间 。 
由 于 实际 的 口令 常常 很 弱 (可 以 通过 对 字典 或 常用 字符 列表 进行 搜索 或 经 过 简单 置换 而 
发 现 的 口令 )， 这 时 可 以 基于 词典 单词 而 在 单词 尾部 串 接 几 个 字母 和 数字 ， 这 就 是 组 合 
破解 法 。 

4) 其 他 破解 类 型 

@ 社会 工程 学 : 通过 对 目标 系统 的 人 员 进 行 游说 、 欺 骗 、 利 诱 ， 获 得 口令 或 其 部 分 。 

@ 偷 宕 : 观察 别人 输入 口令 。 

@ 搜索 垃圾 箱 。 


2. 口令 破解 工具 





1) Cain & Abel (穷人 的 LOphtCrack) 
网 址 : http://www.oxid.it/cain.html。 
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类 别 : 免费 。 

平台 : Windows。 

简介 : Cain & Abel 是 一 个 针对 Windows 操作 系统 的 免费 口令 恢复 工具 。 它 通过 如 下 多 
种 方式 轻松 地 实现 口令 恢复 : 网 络 嗅 探 、 破 解 加 密 口 令 〈 使 用 字典 或 强行 攻击 )、 解 码 被 打 
乱 的 口令 、 显 示 口 令 框 、 显 示 缓 存 口令 和 分 析 路 由 协议 等 。 该 工具 的 源 代码 不 公开 。 

2) DSniff (一 流 的 网 络 审 计 和 渗透 测试 工具 ) 

网 址 : http://naughty.monkey.org/~dugsong/dsniff/。 

类 别 : 开放 源码 。 

平台 : Linux/BSD/UNIX/Windows。 

简介 : DSniff 是 由 Dug Song 开发 的 一 套 包含 多 个 工具 的 软件 套件 。 其 中 ，dsniff、 
filesnarf、mailsnarf、msgsnarf、rlsnarf 和 webspy 可 以 用 于 监视 网 络 上 的 数据 (如 口令 、 
E-mail、 文 件 等 )，arpspoof、dnsspoof 和 macof 能 很 容易 地 载 取 到 攻击 者 通常 难以 获取 的 网 
络 信息 (如 二 层 交 换 数据 )，sshmitm 和 webmitm 则 能 用 于 实现 重 写 SSH 和 HTTPS 会 话 达 
到 monkey-in-the-middle 攻击 。 在 http://www.datanerds.net/~mike/dsniffhtml 可 以 找到 
Windows 平台 上 的 移植 版 。 

3) John the Ripper (格外 强大 、 灵 活 、 快 速 的 多 平台 哈 希 口令 破解 器 ) 

网 址 : http://www.openwall.com/john/。 

类 别 : 开放 源 码 。 

F 台 : Linux/BSD/UNIX/Windows。 

简介 : John the Ripper 是 一 个 快速 的 口令 破解 器 ， 支 持 多 种 操作 系统 ， 如 UNIX、DOS、 
Win32、BeOS 和 OpenVMS 等 。 它 设计 的 主要 目的 是 用 于 检查 UNIX 系统 的 弱 口令 ， 支 持 
儿 乎 所 有 UNIX 平台 上 经 crypt 函数 加 密 后 的 口令 哈 希 码 , 也 支持 Kerberos AFS 和 Windows 
NT/2000/XP LM 哈 希 码 等 。 

4) LOphtCrack 4 〈Windows 口令 审计 和 恢复 程序 ) 





网 址 : http://www.atstake.com/research/lc/。 

类 别 : 商业 。 

平台 : Linux/BSD/UNIX/Windows。 

简介 :LOphtCrack 从 独立 的 Windows NT/2000 工作 站 、 网 络 服务 器 、 主 域 控制 器 或 Active 
Directory 上 正当 获取 或 者 从 线路 上 嗅 探 到 的 加 密 哈 希 值 里 破解 出 Windows 口令 ,含有 词典 
攻击 、 组 合 攻击 、 强 行 攻击 等 多 种 口令 猜 解 方法 。 

5) 网 络 刺 客 

网 络 刺客 是 一 个 强大 的 网 络 安全 工具 ， 扫 描 只 是 其 中 的 一 个 功能 。 它 的 扫描 功能 包括 
共享 扫描 、 端 口 扫描 和 口令 扫描 猜测 等 。 
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1.4 ”欺骗 型 攻击 


在 网 络 环境 下 ， 通 信 主 体 之 间 的 认证 也 是 基于 数字 进行 的 。 这 种 非 直接 的 认证 为 欺骗 
(Cspoofing) 提供 了 机 会 。 广 义 地 说 ， 网 络 欺骗 泛 指 在 网 络 环境 下 ， 攻 击 者 冒充 已 经 建立 了 
信任 关系 的 对 象 中 的 一 方 ， 对 另 一 方 进行 欺骗 ， 获 取 有 用 资源 的 行为 。 一 般 说 来 ， 网 络 欺 
骗 是 针对 网 络 协议 漏洞 实施 的 。 本 节 讨论 儿 种 常见 的 欺骗 型 攻击 的 原理 和 手段 。 


1.4.1 ARP 欺骗 交换 网 络 监听 


在 1.2.5 节 中 介绍 了 共享 网 络 中 的 窃听 问题 。 但 是 ， 现 在 以 太 网 已 经 从 共享 进入 到 交换 
时 代 。 交 换 式 网 络 不 是 共享 网 络 ， 交 换 式 设备 可 以 准确 地 将 数据 报 文 发 给 目的 主机 。 这 时 ， 
在 交换 网 络 中 ， 能 够 直接 收听 的 是 群发 帧 和 广播 帧 ， 无 法 直接 实施 广泛 监听 。 

在 这 种 环境 下 ， 由 于 一 个 局 域 网 上 发 往 其 他 网 络 的 数据 帧 的 目标 地 址 都 是 指向 网 关 的 ， 
因此 实施 监听 的 一 个 简单 的 方法 是 将 安装 有 Sniffer 软件 的 计算 机 伪装 成 为 网 关 。 这 就 是 地 
址 解析 协议 〈Address Resolution Protocol，ARP) 欺骗 窃听 。 


1. ARP 欺骗 窃听 原理 


ARP 是 一 个 将 32 位 的 卫 地 址 翻译 成 48 位 MAC 地 址 的 协议 。 图 1.39 是 ARP 的 请 求 
和 应 答 分 组 格式 。 
以 太 网 目的 | 以 太 网 源 | 帧 类 型 “| ARP 首 部 | 源 MAC 地 址 | 源 IP 地 址 | 目的 MAC 地 址 | 目的 IP 地 址 
地 址 (6B) | 地 址 (6B) (2B) (8B) (6B) (4B) (6B) (4B) 
以 太 网 首部 以 太 网 ARP 字 段 


图 1.39 ARP 请 求 和 应 答 分 组 格式 


ARP 协议 是 一 个 无 状态 的 协议 ， 一 旦 收 到 ARP 应 答 报 文 ， 就 会 对 其 高 速 缓存 中 的 IP 
地 址 到 MAC 地 址 的 映射 记录 进行 更 新 ， 而 不 会 关心 之 前 是 否 发 出 过 ARP 请 求 。ARP 欺骗 
的 核心 就 是 向 目标 主机 发 送 一 个 包含 伪造 的 IP-MAC 映射 信息 的 ARP 应 答 报 文 。 当 目的 主 
机 收 到 此 应 答 报 文 后 就 会 更 新 其 ARP 高 速 缓存 ,从 而 使 目标 主机 将 报 文 发 送 给 错误 的 对 象 。 
这 种 攻击 也 称 为 中 间 人 攻击 。 

所 谓 中 间 人 攻击 ， 就 是 使 进行 监听 的 主机 插入 到 被 监听 主机 与 其 他 网 络 主机 之 间 ， 利 
ARP 欺骗 进行 攻击 ， 造 成 进行 监听 的 主机 成 为 被 监听 主机 与 其 他 网 络 主机 通信 的 中 继 。 
如 图 1.40 所 示 ， 当 主机 A 要 给 主机 B 发 送 IP 包 时 ， 在 包头 中 需要 填写 B 的 卫 为 目标 地 
址 ， 并 且 这 个 IP 包 在 以 太 网 上 传输 的 时 候 ， 还 需要 进行 一 次 以 太 包 的 封装 ， 即 填 入 B 的 
MAC 地 址 。 但 是 A 是 不 知道 B 的 MAC 地 址 的 。 为 了 获得 B 的 MAC 地 址 ，A 就 广播 一 个 
ARP 请 求 包 , 请 求 包 中 填 有 B 的 卫 地 址 ， 以 太 网 中 的 所 有 计算 机 都 会 接收 这 个 请 求 ， 而 正 
常 的 情况 下 只 有 B 会 给 出 ARP 应 答 包 ， 包 中 就 填充 上 了 B 的 MAC 地 址 ， 并 回复 给 A。A 
得 到 ARP 应 答 后 ， 将 B 的 MAC 地 址 放 入 本 机 缓存 ， 便 于 下 次 使 用 ， 或 者 更 新 已 有 的 ARP 
缓存 。 
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A: 被 监听 主机 B : 任 一 其 他 主机 
ip:192.168.0.1 La 局 | ip:197 168.03 
MAC 为 01:01:01:01:01:01 MAC 为 02:02:02:02:02:02 


交换 机 


! C: 实施 监听 主机 
[LY Ip:192.168.03 
MAC 为 03:03:03:03:03:03 


图 1.40 ARP 欺骗 窃听 


由 于 ARP 并 不 只 在 发 送 了 ARP 请 求 后 才 接收 ARP 应 答 ， 这 就 会 使 入 侵 者 有 机 可 乘 。 
例如 ， 局 域 网 中 的 主机 C 可 能 会 冒充 主机 B 向 A 发 送 一 个 伪造 的 ARP 应 答 ， 应 答 中 的 人 P 
地 址 为 B 的 他 地址 , 而 MAC 地 址 是 主机 C 的 MAC 地 址 (也 可 以 是 另外 的 主机 D 的 MAC 
地 址 )， 则 当 A 接收 到 C 伪造 的 ARP 应答 后 ， 就 会 更 新 本 地 的 ARP 缓存 ， 这 样 A 就 会 把 
发 向 B 的 数据 包 发 送 到 同一 物理 网 的 主机 C (或 D)。 这 样 ，C 就 是 插入 的 A 和 B 之 间 的 进 
行 攻击 的 主机 。 


2. ARP 欺骗 窃听 防范 


1) 采用 静态 ARP 

指定 静态 ARP, 即将 IP 地 址 与 MAC 地 址 绑 定 。 大 多 数 UNIX 系统 支持 ARP 读 取 指定 
的 IP 和 MAC 地 址 对 应 文件 ， 首 先 编辑 内 容 为 IP 和 MAC 地 址 对 照 的 文件 ， 然 后 使 用 命令 
arp -f/path/to/ipandmacmapfile 读 取 文件 ， 这 样 就 指定 了 静态 的 ARP 地 址 ， 即 使 接收 到 ARP 
应 答 ， 也 不 会 更 新 自己 的 ARP 缓存 ， 从 而 使 ARP 欺骗 丧失 作用 。 

Windows 系统 没有 -f 这 个 参数 ， 但 有 -s 参数 ， 可 以 用 命令 行 指定 IP 和 MAC 地 址 对 照 
关系 ,如 arp -s 192.168.1.33 00-90-6d- 亿 -24-00。 但 除了 Windows XP 外 , 其 他 版 本 的 Windows 

台 即 使 这 样 做 , 当 接收 到 伪造 的 ARP 应 答 后 , 依然 会 更 新 自己 的 ARP 缓存 , 用 新 的 MAC 

地 址 替换 掉 旧 的 MAC 地 址 ， 所 以 无 法 对 抗 ARP 欺骗 。 而 且 采 用 静态 ARP 有 一 个 缺憾 ， 就 
是 如 果 网 络 很 大 的 话 ， 工 作 量 会 非常 大 。 

2) ARP 监听 检测 

首先 ， 借 助 检测 IP 地 址 和 MAC 地 址 对 应 的 工具 ， 如 arpwatch， 安 装 了 arpwatch 的 系 
统 在 发 生 MAC 地 址 变化 时 会 在 系统 的 日 志文 件 中 看 到 如 下 提示 : 

Apr 21 23:05:00 192.168.1.35 arpwatch:flip flop 192.168.1.33 0:90:6d:f2:24:0 (8:0:20:c8:fe: 15) 


Apr 21 23:05:02 192.168.1.35 arpwatch:flip flop 192.168.1.33 8:0:20:c8:fe:15 (0:90:6d:f2: 24:0) 
Apr 21 23:05:03 192.168.1.35 arpwatch:flip flop 192.168.1.33 0:90:6d:f2:24:0 (8:0:20:c8:fe: 15) 


从 提示 中 可 以 看 出 ，arpwatch 检测 到 了 网 关 MAC 地 址 发 生 了 改变 。 

其 次 ， 借 助 一 些 入 侵 检测 系统 ， 如 Snort， 也 可 以 起 到 的 一 定 的 检测 作用 。 在 Snort 的 
配置 文件 中 打开 arpspoof 的 preprocessor 开关 并 进行 配置 即 可 。 

3) 数据 加 密 

数据 加 密 可 以 使 攻击 者 即使 窃听 到 ， 也 无 法 了 解 内 容 。 
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3. 监听 器 


监听 器 〈sniffsr) 是 一 种 用 于 捕获 网 络 报 文 的 软件 ， 可 以 用 来 进行 网 络 流量 分 析 ， 找 出 
网 络 中 潜在 问题 ， 确 定 在 通信 所 使 用 的 多 个 协议 中 属于 不 同 协议 的 流量 大 小 ， 哪 台 主机 承 
担 主要 协议 的 通信 ， 哪 台 主 机 是 主要 的 通信 目的 地 ， 报 文 发 送 的 时 间 是 多 少 ， 主 机 间 报 文 
传送 的 时 间 间 隔 等 ， 是 网 络 管理 员 的 一 种 常用 工具 。 

监听 器 只 是 接收 数据 ， 而 不 向 外 发 送 数据 ， 从 而 能 悄 无 声息 地 监听 到 所 有 局 域 网 内 的 
数据 通信 ， 其 潜在 危害 性 也 在 于 此 。 

下 面 介 绍 几 种 常用 的 监听 器 。 

1) Sniffer Pro 


Sniffer Pro 是 NAI 公司 开发 的 一 种 图 形 界 面 噢 探 器 。 它 功能 强大 ， 能 全 面 监视 所 有 网 
络 信息 流量 ， 识 别 和 解决 网 络 问题 ， 是 目前 唯一 能 够 为 七 层 OSI 网 络 模型 提供 全 面 性 能 管 
理 的 工具 。 

2) Libpcap/Winpcap 

Libpcap 是 Packet Capture Library (数据 包 捕 获 函 数 库 ) 的 缩写 与 重组 。 它 不 是 一 个 监 
听 器 ， 但 是 它 提供 的 C 语言 函数 接口 可 用 于 对 经 过 网 络 接口 的 数据 包 的 捕获 ， 以 支持 监听 
器 产品 的 开发 。Winpcap 是 Libpcap 的 Win32 版 本 。 

3) Dsniff 

Dsniff 是 Dug Song 编写 的 一 个 功能 强大 的 工具 软件 包 ， 它 可 以 支持 多 种 协议 类 型 ， 包 
括 FTP、Telnet、 rlogin、Ldap、SMTP、POP、IMAP、 IRC、ICQ、MS-CHAP、Npster、Citrix、 


ICA、 PCAnywher、 SNMP、 OSPF、 PPTP、 X11l、 NFS、 RIP、 VRRP、 Microsoft SQL Protocol 
等 
二 0o 








4) Tcpdump/Windump 
Tcpdump 是 一 个 传统 的 噢 探 器 ， 通 过 将 网 卡 设置 为 混杂 模式 截取 帧 进行 工作 。 
4. ARP 监听 软件 arpspoof 


arpspoof 是 Dsniff 中 的 一 个 组 件 ， 是 一 个 基于 ARP 理论 的 网 络 监听 程序 ， 它 的 工作 原 
理 是 这 样 的 : 发 起 ARP 欺骗 的 主机 向 目标 主机 发 送 伪 造 的 ARP 应 答 包 , 骗取 目标 系统 更 新 
ARP 表 ， 将 目标 系统 的 网 关 的 MAC 地 址 修改 为 发 起 ARP 欺骗 攻击 的 主机 MAC 地 址 ， 使 
数据 包 都 经 由 发 起 ARP 欺骗 的 主机 。 这 样 即使 系统 连接 在 交换 机 上 ， 也 不 会 影响 对 数据 包 
的 截取 ， 由 此 就 轻松 地 通过 交换 机 实现 了 网 络 监听 。 例 如 ， 主 机 A 和 B 连接 在 交换 机 的 同 
一 个 VLAN (虚拟 局 域 网 ) 上 。 

A 主机 的 卫 地址 为 192.168.1.37。 

B 主机 的 卫 地 址 为 192.168.1.35，MAC 地 址 为 08-00-20-c8-fe-15。 

网 关 的 卫 地 址 为 192.168.1.33，MAC 地 址 为 00-90-6d-f2-24-00。 
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(1) 在 A 主机 上 看 看 A 主机 的 ARP 表 : 


可 以 看 到 A 主机 中 保留 着 网 关 的 IP 地 址 192.168.1.33 和 对 应 的 MAC 地 址 00-90-6d-f2- 
24-00。 
(2) 在 B 主机 上 执行 arpspoof， 将 目标 指向 A 主机 ， 宣 称 自己 为 网 关 ， 如 下 : 








可 以 看 到 B 主机 持续 向 A 主机 发 送 ARP 回应 包 ， 宣 称 网 关 192.168.1.33 的 MAC 地 址 


是 B 主 机 自己 。 此 时 ， 在 A 主机 上 看 看 ARP 表 的 内 容 : 





显然 A 主机 的 ARP 表 已 经 改变 了 ， 网 关 的 MAC 地 址 被 更 新 为 B 主机 的 MAC 地 址 。 
这 样 ， 当 有 数据 包 发 送 时 ，A 主机 理所当然 地 会 发 到 其 ARP 表 中 网 关 对 应 的 MAC 地 址 
08-00-20-c8-fe-15。 可 是 , A 主机 却 不 知道 它 的 数据 实际 上 发 送 到 了 一 台 别 有 用 心 的 B 主机。 

(3) 但 是 还 不 能 这 样 结束 。 为 了 让 A 主机 不 会 有 明显 的 感觉 ，B 主机 还 必须 打开 数据 
转发 。 

@ 在 Linux 中 可 以 使 用 sysctl -w netipv4.ip_forward=1。 

@ 在 BSD 系统 可 以 使 用 sysctl -w net.inet.ip.forwarding=1。 

@ 在 Solaris 系统 可 以 使 用 ndd -set /dev/ip ip_forwarding=1。 

除了 这 样 打开 内 核 的 支持 外 ， 也 可 以 选用 外 部 的 fragrouter 等 转发 软件 ， 如 此 ， 就 能 确 
保 A 主机 能 正常 工作 了 。 


实验 3 监听 器 工具 的 使 用 
1. 实验 目的 


(1) 了 解 监听 器 的 基本 原理 。 
(2) 掌握 一 种 监听 器 工具 的 基本 用 法 。 


2. 实验 内 容 


(1) 下 载 并 安装 一 种 监听 器 工具 。 
(2) 使 用 安装 的 监听 器 工具 进行 网 络 信息 收集 。 


3. 实验 准备 
(1) 设计 实验 的 环境 。 


(2) 选 定 一 种 监听 器 工具 ， 记 录 其 下 载 网 址 。 
(3) 罗列 出 使 用 该 监听 器 工具 的 步骤 和 方法 。 


4. 推荐 的 分 析 讨 论 内 容 


(1) 分 析 监 听 器 工具 在 网 络 管理 和 网 络 安全 方面 的 作用 。 
(2) 其 他 发 现 或 想到 的 问题 。 


1.4.2 ”IP 源 地 址 欺骗 


IP 有 一 个 缺陷 : 它 只 依据 IP 头 中 的 目的 地 址 发 送 数据 包 ， 而 不 对 数据 包 中 的 IP 地 址 
进行 认证 。 这 个 缺陷 使 任何 人 不 经 授权 就 可 以 伪造 IP 包 的 源 地 址 。IP 源 地 址 欺骗 就 是 基于 
这 一 点 ， 使 攻击 者 可 以 假冒 他 人 的 IP 地 址 向 某 一 台 主机 发 送 数 据 包 ， 进 行 攻击 。 

攻击 者 使 用 IP 地 址 欺骗 的 目的 主要 有 两 种 。 

(1) 隐藏 自身 ， 对 目标 主机 发 送 不 正常 包 ， 使 之 无 法 正常 工作 。 

(2) 伪装 成 被 目标 主机 信任 的 友好 主机 得 到 非 授权 的 服务 。 


1. 了 源 地 址 欺骗 攻击 的 基本 过 程 


IP 源 地 址 欺骗 是 冒 用 别 的 主机 的 IP 地 址 用 于 欺骗 第 三 者 。 假定 有 两 台 主机 S ( 设 卫 地 
址 为 201.15.192.11) 和 T( 设 卫 地 址 为 201.15.192.22), 并 且 它 们 之 间 已 经 建立 了 信任 关系 。 
入 侵 者 X 要 对 T 进 行 卫 欺骗 攻击 ， 就 可 以 假冒 $ 与 T 进 行 通 信 。 

(1) 确认 攻击 目标 。 施 行 IP 源 地址 欺骗 的 第 一 步 是 确认 攻击 目标 。 下 面 是 容易 受到 电 
子 欺骗 攻击 的 服务 类 型 。 

GD 运行 SunRPC (Sun Remote Procedure Call，Sun 远程 过 程 调 用 ) 的 网 络 设备 。 

@ 基于 耳 地 址 认证 的 任何 网 络 服务 。 

@ 提供 R 系列 服务 的 计算 机 ， 如 提供 rlogin、rsh、rcp 等 服务 的 计算 机 。 

其 他 没有 这 类 服务 的 系统 所 受到 的 IP 欺骗 攻击 虽然 也 有 ， 但 要 少 得 多 。 

(2) 使 被 冒充 的 主机 无 法 响应 目标 主机 的 会 话 。 当 X 要 对 T 实施 IP 源 地 址 欺骗 攻击 
时 ， 就 要 假冒 S〈 称 为 被 利用 者 ) 与 目标 主机 T 进 行 通信 。 但 是 ，X 并 不 是 真正 的 S， 而 工 
只 向 $ 回 送 应 答 包 。 这 样 ， 就 有 可 能 使 S 对 工 的 报 文 产生 反应 ， 而 将 X 暴露 。X 避免 自己 
暴露 的 办 法 是 让 8 瘫痪 ， 使 之 无 法 响应 目标 主机 T 的 数据 包 。 

使 $ 瘫痪 的 办 法 是 对 其 实施 拒绝 服务 攻击 ， 例 如 ， 通 过 SYN Flood 攻击 使 之 连接 请 求 
被 占 满 ， 暂 时 无 法 处 理 进 入 的 其 他 连接 请 求 。 通 常 ， 黑 客 会 用 一 个 虚假 的 卫 地 址 (可 能 该 























。70 。 


合法 IP 地 址 的 服务 器 没有 开机 ) 向 目标 主机 TCP 端口 发 送 大 量 的 SYN 请 求 。 受 攻击 的 服 
务 器 则 会 向 该 虚假 的 卫 地 址 发 送 响应 。 自 然 得 不 到 回应 ， 得 到 的 是 该 服务 器 不 可 到 达 的 消 
息 。 而 目标 主机 的 TCP 会 认为 这 是 暂时 的 不 通 ， 于 是 继续 尝试 连接 ， 直 到 确信 无 法 连接 。 
不 过 这 已 经 为 黑客 进行 攻击 提供 了 充足 的 时 间 。 

(3) 精确 地 猜测 来 自 目 标 请 求 的 正确 序列 数 。 

X 为 了 使 自己 的 攻击 不 露馅 的 另 一 个 措施 是 取得 被 攻击 目标 T 主机 的 信任 。 由 于 TCP 
是 可 靠 传输 协议 ， 每 台 主 机 要 对 自己 发 送 的 所 有 字 节 分 配 序列 编号 ， 供 接收 端 确认 并 据 此 
进行 报 文 装配 。 在 通过 三 次 握手 建立 TCP 连接 的 过 程 中 ， 客 户 端 首先 要 向 服务 器 发 送 序列 
号 x， 服 务 器 收 到 后 通过 确认 要 向 客户 端 送 回 期 待 的 序列 号 x+l 和 自己 的 序列 号 。 由 于 序列 
号 的 存在 ,给 卫 欺骗 攻击 增加 了 不 少 难度 ， 要 求 攻击 者 X 必须 能 够 精确 地 猜测 出 来 自 目标 
机 的 序列 号 ， 否 则 也 会 露馅 。 

那么 , 如 何 精确 地 猜测 来 自 目标 机 的 序列 号 呢 ? 这 就 需要 知道 TCP 序列 号 的 编排 规律 。 

初始 的 TCP 序列 号 是 由 tcp_init( ) 函 数 确 定 的 ， 是 一 个 随机 数 ， 并 且 它 每 秒 钟 增加 
128 000。 这 表明 ， 在 没有 连接 的 情况 下 ，TCP 的 序列 号 每 9.32 h 会 复位 一 次 ; 而 有 连接 时 ， 
每 次 连接 把 TCP 序列 号 增加 64 000。 

随机 的 初始 序列 号 的 产生 也 是 有 一 定 规律 的 。 在 Berkeley 系统 中 ， 初 始 序列 号 由 一 个 
常量 每 秒 钟 加 1 产生 。 

所 以 ，TCP 序列 号 的 估计 也 并 非 绝对 不 可 能 。 但 是 ， 除 此 之 外 ， 攻 击 者 还 需要 估计 他 
的 服务 器 与 可 信服 务 器 之 间 的 往返 时 间 (RTT)。RTT 一 般 是 通过 多 次 统计 平均 计算 出 来 的 。 
在 没有 连接 的 情况 下 ，TCP 序列 号 为 128000。 RTT; 如 果 目 标 服务 器 刚刚 建立 过 一 个 连接 ， 
就 还 要 加 上 64 000。 

上 述 分 析 是 一 种 理论 上 的 分 析 。 黑 客 通常 的 做 法 是 通过 对 目标 主机 的 合法 连接 来 获得 
目标 主机 发 送 IP 数据 包 的 序列 记录 。 有 具体 步骤 如 下 。 

@ 请 求 连接 目标 主机 。 

@ 目标 主机 送 回 带 序列 号 的 回应 。 

@@ 记录 序列 号 并 断 开 连接 。 

在 一 般 情 况 下 ， 通 过 对 所 记录 的 序列 号 的 分 析 ， 可 以 猜测 出 认证 要 求 序列 号 的 规则 。 

(4) 冒充 受信 主机 连接 到 目标 主机 。 

(5) 根据 猜 出 的 序列 号 ， 向 目标 主机 发 送 回 应 JP 包 。 

(6) 进行 系列 会 话 。 


2. JP 源 地 址 欺骗 的 防范 


JP 源 地 址 欺骗 攻击 比较 普遍 , 而 且 产生 的 危害 性 很 大 。 下 面 是 卫 欺骗 的 一 些 预防 策略 。 

(1) 放弃 基于 IP 地 址 的 信任 策略 。IP 欺骗 是 基于 IP 地 址 信任 的 。 而 IP 地 址 很 容易 伪 
造 。 因 此 ， 阻 止 这 类 攻击 的 一 种 非常 简单 的 方法 是 放弃 以 IP 地 址 为 基础 的 验证 。 

(2) 使 用 随机 化 的 初始 序列 号 。 序 列 号 是 接收 方 TCP 进行 合法 检查 的 一 个 重要 依据 。 
黑客 攻击 能 够 得 退 的 一 个 重要 因素 就 是 序列 号 有 一 定 的 选择 和 增加 规律 。 堵 塞 这 一 漏洞 的 
方法 就 是 让 黑客 无 法 计算 或 猜测 出 序列 号 。Bellovin 提出 了 一 个 公式 : 
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ISN=M+F (localhost,localport,remotehost,remoteport) 

其 中 ，M 为 4 ns 定时 器 , 斑 为 加 密 Hash 函数 ，localhost 为 本 地 主机 ，localport 为 本 地 端口 ， 
remotehost 为 远方 主机 ，remoteport 为 远方 端口 。Bellovin 建议 FF 是 一 个 结合 连接 标识 符 和 
特殊 矢量 (随机 数 ， 基 于 启动 时 间 的 密码 ) 的 Hash 函数 ， 它 产生 的 序列 号 不 能 通过 计算 或 
猜测 得 出 。 

(3) 在 路 由 器 中 加 上 一 些 附 加 条 件 。 这 些 条 件 包括 : 不 允许 声称 是 内 部 包 的 外 部 包 ( 源 
地 址 和 目标 地 址 都 是 本 地 域 地 址 ) 进入， 以 防止 外 部 攻击 者 假冒 内 部 主机 的 IP 欺骗 ， 禁 止 
带 有 内 部 资源 地 址 的 内 部 包 出 去 ， 以 防止 内 部 用 户 对 外 部 站 点 的 攻击 。 

(4) 配置 服务 器 ,降低 IP 欺骗 的 可 能 : 分 析 自 己 的 服务 器 ,看 哪些 服务 容易 遭受 IP 欺 
骗 攻 击 ， 并 考虑 这 些 服务 有 无 保留 的 必要 。 

(5) 使 用 防火 墙 和 其 他 抗 IP 欺骗 的 产品 。 例 如 ， 防 火 墙 决定 是 否 允 许 外 部 的 卫 数据 包 
进入 局 域 网 ， 对 来 自 外 部 的 耳 数据 包 进 行 检验 。 假 如 来 自 外 部 的 数据 包 声 称 有 内 部 地 址 ， 
它 一 定 是 欺骗 包 。 如 果 数 据 包 的 IP 地 址 不 是 防火 墙 内 的 任何 子 网 ， 它 就 不 能 离开 防火 墙 。 


1.4.3 路 由 欺骗 


在 TCP/P 网 络 中 , 耳 包 的 传输 路 径 完 全 由 路 由 表决 定 。 因 此 ， 如 果 攻 击 者 能 控制 路 由 
表 ， 则 可 以 控制 自己 发 送 的 人 P 包 到 达 希 望 的 目标 ， 进 行 监听 或 其 他 攻击 。 下 面 介绍 两 种 路 
由 欺骗 方法 。 

1. IP 源 路 由 欺骗 

IP 报 文 首 部 具有 “ 源 站 选 路 ”可 选项 ， 可 以 指定 到 达 目 的 站 点 的 路 由 。 在 正常 情况 下 ， 
若 目的 主机 有 应 答 或 其 他 信息 回 送 源 站 点 ， 就 可 以 按照 源 站 所 选 路 由 逆向 路 径 回 复 。 

假定 有 两 台 主 机 S〈 设 他 地址 为 201.15.192.11) 和 工 〈 设 IP 地 址 为 201.15.192.22 )， 
之 间 已 经 建立 了 信任 关系 。 若 有 攻击 者 X 想 冒充 S 从 T 处 获得 某 种 服务 ， 则 它 可 以 按照 下 
面 的 步骤 进行 。 

(1) 攻击 者 X 进行 IP 地 址 欺骗 ， 将 自己 发 往 T 的 源 地 址 修改 为 201.15.192.11， 目 标 地 
址 写 为 201.15.192.22。 

(2) 将 路 由 表 写 为 X 到 T 的 路 由 (例如 X 所 在 局 域 网 的 路 由 器 GX )。 

这 样 ，T 要 发 送 到 $ 的 应 答 ， 实 际 上 按照 X 指定 的 路 由 的 逆向 路 径 ， 送 回 到 X 所 在 局 
域 网 的 路 由 器 GX。X 通过 监听 收取 该 数据 包 。 当 然 ， 要 求 路 由 器 GX 所 在 的 局 域 网 中 不 包 
括 S。 

防范 IP 源 路 由 欺骗 的 主要 方法 是 关闭 主机 和 路 由 器 上 的 源 路 由 选项 。 此 外 ， 也 可 以 通 
过 路 由 器 配置 ， 阻 挡 那 些 来 自 外 部 却 声称 是 内 部 主机 的 报 文 。 


2. RIP 路 由 欺骗 


路 由 信息 协议 (Routing Information Protocol，RIP) 是 一 种 基于 选择 算法 的 内 部 或 域内 
路 由 选择 协议 。 距 离 向 量 算法 (DVA) 的 路 由 选 定 原则 是 ， 到 一 个 目的 站 的 最 少 “路 由 中 
继 ”(Chop， 跳 ) 数 或 到 那个 目的 站 路 径 的 费用 。 为 适应 网 络 的 变化 ， 要 求 域内 路 由 器 之 间 
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动态 地 (每 30s) 交换 信息 ， 内 容 包括 每 个 路 由 器 可 以 到 达 哪 些 网 络 ， 这 些 网 络 有 多 远 等 。 
信息 交换 用 卫 数据 包 进 行 ， 并 用 UDP 作为 传输 协议 。 

这 样 ， 若 攻击 者 在 网 上 发 布 假 的 路 由 信息 ， 声 称 路 由 器 GX 可 以 使 T 发 往 S 的 数据 包 
最 快 到 达 ， 青 通过 ICMP 重 定向 来 欺骗 服务 器 路 由 器 和 主机 ， 将 T 到 的 正常 路 由 器 标志 
为 失效 ， 就 可 以 诱 使 T 将 数据 包 发 到 攻击 者 控制 的 路 由 器 GX。 


1.4.4 ”TCP 会 话 动 持 


会 话 动 持 (session hijack) 就 是 攻击 者 作为 第 三 者 ， 隐 秘 地 加 入 到 他 人 的 会 话 中 ， 发 送 
恶意 数据 ， 或 者 对 他 人 的 会 话 进行 监听 ， 甚 至 接替 其 中 一 方 与 另 一 方 会 话 。 在 网 络 中 进行 
会 话 劫持 往往 是 利用 了 通信 协议 的 漏洞 ， 通 过 嗅 探 与 欺骗 两 种 手段 结合 进行 。 


1. TCP 会 话 劫持 的 基本 原理 


(1) TCP 使 用 端 到 端的 连接 ， 即 TCP 用 ( 源 IP， 源 TCP 端口 号 ， 目 的 卫 ， 目 的 TCP 
端 号 ) 来 唯一 标识 每 一 条 已 经 建立 连接 的 TCP 链 路 。 

(2) TCP 在 进行 数据 传输 时 ， 其 首部 有 两 个 非常 重要 的 字段 : 序号 〈seq) 和 确认 序号 
(ackseq)。 

@ 序号 指出 了 本 报 文中 传送 的 数据 在 发 送 主 机 所 要 传送 的 整个 数据 流 中 的 顺序 号 。 

@ 确认 序号 指出 了 发 送 本 报 文 的 主机 希望 接收 的 对 方 主机 中 下 一 个 八 位 组 的 顺序 号 。 

对 于 一 台 主 机 来 说 ， 其 收发 的 两 个 相 邻 TCP 报 文 之 间 的 序号 和 确认 序号 与 所 携带 TCP 
数据 净 荷 (payload) 的 多 少 有 数值 上 的 关系 : 它 所 要 发 出 的 报 文中 的 seq 值 应 等 于 它 所 刚 
收 到 的 报 文中 的 ackseq 的 值 ,而 它 所 要 发 送 的 报 文中 ackseq 的 值 应 为 它 所 收 到 的 报 文中 seq 
的 值 加 上 该 报 文中 所 发 送 的 TCP 净 荷 的 长 度 。 

(3) 在 TCP 连接 中 ， 只 是 刚 开始 连接 时 进行 一 次 IP 地 址 的 验证 ， 在 连接 过 程 中 TCP 
应 用 程序 只 跟踪 序列 号 ， 而 不 进行 IP 地 址 验证 。 因 此 ， 一 旦 同一 网 段 上 的 入 侵 者 获悉 目标 
主机 的 序列 号 规律 ， 就 可 以 假冒 该 目标 主机 的 受信 机 与 该 目标 主机 进行 通信 ， 把 原来 目标 
主机 与 其 受信 机 之 间 的 会 话 支持 过 去 。 


2. TCP 会 话 动 持 过 程 


会 话 动 持 一 般 采 取 如 下 3 步 进行 。 

(1) 找 一 个 同 网 段 的 活动 会 话 。 会 话 动 持 的 第 一 步 要 求 攻击 者 找 一 个 位 于 同一 网 段 的 
活动 会 话 。 这 要 求 攻击 者 嗅 探 在 子 网 上 的 通信 。 攻 击 者 将 寻找 诸如 FTP 之 类 的 一 个 已 经 建 
立 起 来 的 TCP 会 话 。 在 共享 网 络 中 ， 查 找 这 种 会 话 是 很 容易 的 。 在 交换 网 络 中 则 需要 攻击 
ARP 协议 。 

(2) 猜测 正确 的 序列 号 码 。 进 行 TCP 传输 时 ， 传 输 的 数据 的 每 一 个 字 节 必须 有 一 个 序 
列 号 码 。 这 个 序列 号 用 来 保持 跟踪 数据 和 提供 可 靠 性 。 最 初 的 序列 号 码 是 在 TCP 协议 握手 
的 第 一 步 生成 的 。 目 的 地 系统 使 用 这 个 值 确认 发 出 的 字 节 。 这 个 序列 号 字段 长 度 有 32B。 这 
就 意味 着 可 能 有 大 约 4 294 967 295 个 序列 号 。 

(3) 把 合法 的 用 户 断 开 。 一 旦 确定 了 序列 号 ， 攻 击 者 就 能 要 把 合法 用 户 断 开 ， 以 免 露 
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出 破绽 。 断 开 合法 用 户 可 以 采用 拒绝 服务 攻击 、 源 路 由 欺骗 或 者 向 用 户 发 送 一 个 重 置 命令 。 
如 果 这 些 步 又 取得 成 功 ， 攻 击 者 现在 就 可 以 控制 这 个 会 话 。 只 要 这 个 会 话 能 够 保持 下 去 ， 
攻击 者 就 能 够 通过 身份 验证 进行 访问 。 

3. 会 话 劫持 攻击 工具 


1) Juggernaut 

Juggernaut 是 由 Mike Schiffman 开发 的 一 个 可 以 用 来 进行 TCP 会 话 攻击 的 网 络 监听 器 ， 
它 是 一 个 开放 的 自由 软件 。 可 以 运行 于 Linux 操作 系统 的 终端 机 上 ， 安 装 和 运行 都 很 简单 。 
可 以 设置 值 . 暗 号 或 标志 这 3 种 不 同 的 方式 来 通知 Juggernaut 程序 是 否 对 所 有 的 网 络 流量 进 
行 观察 。 例 如 ， 一 个 典型 的 标记 就 是 登录 暗号 。 无 论 何 时 Juggernaut 发 现 这 个 暗号 ， 就 会 捕 
获 会 话 ， 这 意味 着 黑客 可 以 利用 捕获 到 的 用 户 密码 再 次 进入 系统 。 

2) Hunt 

Hunt 是 Kra 开发 的 一 个 用 来 监听 、 截 取 和 劫持 网 络 上 的 活动 会 话 的 程序 。 

3) TTY Watcher 

TTY Watcher 是 一 个 免费 的 程序 ， 允 许 人 们 监视 并 且 动 持 一 台 单一 主机 上 的 连接 。 

4) IP Watcher 

IP Watcher 是 一 个 商用 的 会 话 劫持 工具 , 它 允 许 监视 会 话 并 且 获 得 积极 的 反 会 话 支持 方 
法 。 它 基于 TTY Watcher， 此 外 还 提供 一 些 额 外 的 功能 ，IP Watcher 可 以 监视 整个 网 络 。 


1.4.5 DNS 欺骗 


域名 系统 (Domain Name System，DNS) 是 一 个 将 主机 域名 和 IP 地 址 互相 映射 的 数 
据 库 系 统 ， 它 的 安全 性 对 于 互联 网 的 安全 有 着 举足轻重 的 影响 。 但 是 由 于 DNS Protocol 
在 自身 设计 方面 存在 缺陷 ， 安 全 保护 和 认证 机 制 不 健全 ， 造 成 DNS 自身 存在 较 多 安全 隐 
患 ， 导 致 其 很 容易 遭受 攻击 。DNS 欺骗 (DNS spoofing) 就 是 利用 DNS 漏洞 进行 的 攻击 
行为 。 

1. DNS 的 服务 过 程 


设 有 如 图 1.41 所 示 的 3 台 主 机 。 其 中 ，S 向 A 提供 DNS 服务 ，A 想 要 访问 B (www. 
ccc.com)。 这 个 过 程 如 下 。 


“i © 向 其 他 DNS 请 求 其 他 DNS 服 务 器 


图 结果 (201.15.192.03) 



















































名 请求 www.ccc.com 的 IP 地 址 



























































多 结果 (201.15.192.03) B 
> = 回 向 B 发 出 连接 HL= 
201.15.192.01 www.cee.com(201.15.192.03) 





图 1.41 DNS 工作 过 程 示 意图 
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Q@ A 向 S 发 一 个 DNS 查询 请 求 , 要 求 $ 告诉 www.ccc.com 的 IP 地 址 , 以 便 与 之 通信 。 

@ S 查询 自己 的 DNS 数据 库 , 若 找 不 到 www.ccc.com 的 IP 地址, 即 向 其 他 DNS 服务 
器 求援 ， 逐 级 递交 DNS 请 求 。 

@ 某 个 DNS 服务 器 查 到 了 www.ccc.com 的 耳 地 址 ， 向 $ 返回 结果 。S 将 这 个 结果 保 
存在 自己 的 缓存 中 。 

@ Ss 把 结果 告诉 A。 

@@ A 得 到 了 B 的 地 址 ， 就 可 以 访问 B 了 《如 向 B 发 出 连接 请 求 )。 

在 上 述 过 程 中 , 如 果 S 在 一 定 的 时 间 内 不 能 向 A 返回 要 查找 的 全 地 址 ,就 会 向 A 返回 
主机 名 不 存在 的 错误 信息 。 

注意 : DNS 客户 端的 查询 请 求 和 DNS 服务 器 的 应 答 数 据 包 是 依靠 DNS 报 文 的 ID 标 
识 来 相互 对 应 的 。 这 个 ID 是 随机 产生 的 。 在 进行 域名 解析 时 ，DNS 客户 端 首先 用 特定 的 
ID 号 向 DNS 服务 器 发 送 域名 解析 数据 包 -。DNS 服务 器 找到 结果 后 使 用 此 ID 给 客户 端 发 送 
应 答 数据 包 。DINS 客户 端 接收 到 应 答 包 后 ， 将 接收 到 的 ID 与 请 求 包 的 ID 对 比 ， 如 果 相 同 
则 说 明 接 收 到 的 数据 包 是 自己 所 需要 的 ， 如 果 不 同 就 丢弃 此 应 答 包 。 

2. DNS 欺骗 原理 

DNS 有 两 个 重要 特性 。 

(1) DNS 对 于 自己 无 法 解析 的 域名 ， 会 自动 向 其 他 DNS 服务 器 查询 。 

(2) 为 提高 效率 ，DNS 会 将 所 有 已 经 查询 到 的 结果 存 入 高 速 缓存 (cache)。 

正 是 这 两 个 特点 ， 使 得 DNS 欺骗 (DNS spoofing) 成 为 可 能 。 实 施 DNS 欺骗 的 基本 思 
路 是 让 DNS 服务 器 的 高 速 缓存 中 存 有 错误 的 卫 地 址 ， 即 在 DNS 高 速 缓存 中 放 一 个 伪造 的 
记录 。 为 此 ， 攻 击 者 需要 做 两 件 事 。 

(1) 先 伪造 一 个 用 户 的 DNS 请 求 。 

(2) 再 伪造 一 个 查询 应 答 。 

但 是 , 在 DNS 包 中 还 有 一 个 16 位 的 查询 标识 符 (Query ID )， 它 将 被 复制 到 DNS 服务 
器 的 相应 应 答 中 ， 在 多 个 查询 未 完成 时 ， 用 于 区 分 响应 。 所 以 ， 回 答 信 息 只 有 Query ID 和 
IP 都 吻合 才能 被 DNS 服务 器 接收 。 因 此 , 进行 DNS 欺骗 攻击 , 还 须 精确 地 猜测 出 Query ID。 
由 于 Query ID 每 次 加 1， 只 要 通过 第 一 次 向 将 要 欺骗 的 DNS 服务 器 发 一 个 查询 包 并 监听 其 
Query ID 值 ， 随 后 再 发 送 设 计 好 的 应 答 包 ， 包 内 的 Query ID 就 是 要 预测 的 Query ID。 


3. DNS 欺骗 过 程 


下 面 结 合 图 1.41， 介 绍 DNS 欺骗 的 一 次 过 程 。 

(1) 入 侵 者 先 向 S (DNS 服务 器 ) 提交 查询 www.ccc.com 的 卫 地 址 请 求 。 

(2) S 向 外 递交 查询 请 求 。 

(3) 入 侵 者 立即 伪造 一 个 应 答 包 ， 告 诉 www.ccc.com 的 人 P 地 址 是 201.15.192.04 (往往 
是 入 侵 者 的 人 * 地址)。 

(4) 查询 应 答 被 S (DNS 服务 器 ) 记录 到 高 速 缓存 中 。 

(5) 当 A 向 S 提交 查询 www.ccc.com 的 IP 地 址 请 求 时 ，S 将 201.15.192.04 告诉 A。 
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4. DNS 欺骗 的 局 限 性 


DNS 欺骗 有 如 下 局 限 性 。 
(1) 入 侵 者 不 能 蔡 换 DNS 高 速 缓存 中 已 经 存在 的 记录 。 
(2) 高 速 缓存 中 的 记录 具有 一 定 的 生存 期 ， 过 期 就 会 被 刷新 。 


1.4.6 ”Web 欺骗 与 钓鱼 网 站 
1. Web 欺骗 的 作用 


Web 欺骗 的 攻击 者 会 创建 整个 WWW 世界 的 影像 副本 。 用 户 进入 该 影像 Web 的 入 口 ， 
实际 是 进入 到 攻击 者 的 Web 服务 器 。 此 时 ， 攻 击 者 就 可 以 肆意 实施 如 下 攻击 。 

(1) 可 将 用 户 的 一 切 活动 置 于 攻击 者 的 监控 之 下 ， 攻 击 者 就 会 获得 用 户 ID、 密 码 、 浏 
览 过 的 网 页 和 停留 的 时 间 等 。 

(2) 能 以 受 攻击 者 的 名 义 将 错误 或 者 易于 误解 的 数据 发 送 到 真正 的 Web 服务 器 。 

(3) 以 任何 Web 服务 器 的 名 义 发 送 数 据 给 受 攻击 者 。 

通过 这 些 活动 ， 攻 击 者 可 以 实施 诈骗 进行 获 利 。 典 型 的 例子 是 假冒 金融 机 构 偷 盗 客 户 
的 信用 卡 信息 。 

钓鱼 网 站 (phishing， 是 phone 与 fishing 的 组 合 ) 就 是 Web 欺骗 技术 的 应 用 。 随 着 电 
子 商务 的 发 展 ， 钓 鱼网 站 一 直 处 于 快速 蔓延 和 持续 增长 势 态 。 如 图 1.42 所 示 ， 金 山 网 络 在 
《2011 一 2013 中 国 互联 网 安全 研究 报告 》 中 提供 的 数据 表明 ，2013 年 金山 毒霸 拦截 的 钓鱼 
网 站 数量 超过 了 240 万 个 ， 与 2011 年 、2012 年 相 比 ， 环 比分 别 增长 340% 和 36.7%。 每 日 
新 增 拦截 钓鱼 网 站 数量 超过 6400 个 。 
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图 1.42 2011 一 2013 年 金山 毒霸 拦截 的 钓鱼 网 站 情况 


360 安全 中 心 将 这 些 钓 鱼网 站 分 为 如 下 7 种 类 型 。 

(1) 设置 中 奖 骗 局 。 这 类 网 站 冒充 游戏 网 站 、QQ、CCTV 等 知名 栏目 、 门 户 网 站 等 发 
布 中 奖 、 奖 励 信息 ， 用 与 官方 网 站 极为 相似 的 页 面 骗取 访问 者 的 QQ、 游 戏 账号 密码 ， 或 者 
骗取 中 奖 者 支付 领取 奖品 的 相关 费用 。 

(2) 各 种 预测 网 站 。 这 些 网 站 会 利用 彩民 梦想 中 大 奖 的 心理 ， 进 行 各 种 收费 预测 ， 网 
站 上 会 列 出 很 多 预测 准确 的 记录 来 骗取 彩民 信任 ， 吸 引 彩 民 加 入 会 员 ， 购 买 所 谓 专家 的 预 
测 资 料 ， 大 部 分 网 站 还 会 打出 中 国 福利 彩票 的 官方 字样 ， 甚 至 还 有 不 少 是 涉及 六 合 彩 、 赌 


拦 
o 
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球 方面 的 网 站 。 彩 民 如 果 相 信 了 他 们 所 谓 的 预测 号 码 、 操 纵 比赛 、 预 测 比赛 结果 的 骗局 ， 

(3) 黑马 股票 的 骗局 。 这 些 网 站 会 使 用 知名 证 券 公司 的 名 称 ， 或 者 干脆 使 用 一 些 不 存 
在 的 证 券 公司 名 称 来 构建 网 站 ， 网 站 以 保证 高 额 利润 为 诱饵 ， 向 股民 推荐 涨停 股 和 黑马 股 ， 
向 被 骗 股 民 收 取 高 额 会 员 费 和 保密 费 ， 甚 至 直接 让 股民 投资 给 他 们 做 代理 炒股 。 受 骗 股民 
往往 会 损失 几 万 元 或 数 十 万 元 。 

(4) 虚假 购物 网 站 。 这 类 网 站 会 在 网 民 购 物 时 出 现在 买 家 或 卖家 的 QQ/ 旺 旺 上， 买卖 
双方 经 常 发 送 各 种 与 商品 有 关 的 链接 ， 而 钓鱼 网 站 就 会 掺 杂 其 中 ， 页 面 通 常会 模仿 淘宝 、 
拍 拍 、 支 付 宝 、 财 付 通 等 与 购物 有 关 的 网 站 ， 骗 取 账 号 密码 或 钱财 。 

另外 还 有 一 些 用 极 低 价格 来 吸引 顾客 的 购物 网 站 ， 如 钻石 、 手 表 、 手 机 、 充 值 卡 ， 也 
是 涉及 购物 欺诈 的 一 种 。 

(5) 仿冒 官方 网 站 登录 。 无 论 人 们 在 网 络 上 做 什么 ， 最 常 遇 到 的 就 是 需要 输入 注册 账 
号 ， 输 入 用 户 名 、 密 码 。 各 种 模仿 官方 网 站 登录 的 钓鱼 网 站 ， 仿 真 度 非 常 高 ， 和 官方 网 站 
儿 乎 一 模 一 样 ， 即 时 通信 (Instant Message，IM)、 网 络 游戏 、 邮 箱 、 购 物 网 站 、 银 行 ， 儿 
平 只 要 是 可 以 登录 的 网 站 ， 就 有 相应 的 钓鱼 网 站 。 

(6) 仿冒 的 医疗 、 药 品 相 关 网 站 。 近 年 来 ， 销 售 假 药 、 劣 质 药品 、 假 冒 医疗 机 构 的 现 
象 也 时 有 发 生 ， 这 类 网 站 也 是 钓鱼 欺诈 的 重要 类 型 。 这 些 网 站 的 危害 不 只 是 骗 人 钱财 ， 更 
重要 的 是 会 影响 人 的 健康 。 

(7) 假冒 的 下 载 网 站 。 这 类 网 站 往往 有 着 和 官方 下 载 页 面相 似 的 页 面 ， 但 是 却 提供 含 
有 木马 的 下 载 链接 ， 这 属于 用 钓鱼 的 方式 来 推广 木马 。 


2. Web 欺骗 的 基本 原理 


Web 欺骗 基于 如 下 3 个 基本 原理 。 

(1) 目前 注册 一 个 域名 没有 任何 要 求 。 利 用 这 一 点 ， 攻 击 者 会 抢先 或 特别 设计 注册 一 
个 有 欺骗 性 的 站 点 。 

(2) Cookie 欺骗 。 在 浏览 器 /服务 器 系统 中 ，Cookie 指 由 服务 器 创建 的 数据 文件 ， 这 个 
文件 会 记录 客户 在 浏览 器 中 所 输入 的 任何 文字 和 选择 , 包括 用 户 ID、 密 码 、 浏 览 过 的 网 页 、 
选择 的 商品 等 。 这 些 数 据 被 存放 到 用 户 计 算 机 硬盘 的 一 个 小 的 文件 (C:\Documents and 
Settings\ 用 户 名 \\Cookies〉 中 。 当 该 用 户 再 光临 同一 个 网 站 时 ，Web 服务 器 会 先 看 看 有 没有 
它 上 次 留 下 的 Cookie 资料 ， 有 的 话 ， 就 会 依据 Cookie 里 的 内 容 来 判断 使 用 者 ， 为 该 用 户 送 
出 特定 的 网 页 内 容 。 它 最 早 是 网 景 公司 的 前 雇员 Lou Montulli 在 1993 年 3 月 发 明 的 。 显 然 ， 
获取 客户 Cookie 文件 ， 就 可 以 获取 客户 的 许多 敏感 信息 。 另 外 ，Cookie 可 以 由 服务 器 创建 
和 修改 ,所 以 攻击 者 也 可 以 修改 用 户 的 Cookie 内 容 。Cookie 欺骗 就 是 在 只 对 用 户 进行 Cookie 
验证 的 系统 中 ， 通 过 伪造 的 Cookie 获得 登录 权限 。 

(3) Session 欺骗 。 在 Web 中 ，Session 是 用 来 记录 浏览 器 端 数 据 (如 用 户 ID 等 敏感 数 
据 ) 的 对 象 。 这 些 数据 存放 在 服务 器 端 。 当 一 个 访问 者 首次 访问 一 个 网 页 时 ， 服 务 器 就 会 
为 其 创建 一 个 新 的 、 独 立 的 Session 对 象 ， 为 该 次 会 话 分 配 一 个 会 话 标识 ID， 并 把 该 次 会 话 
的 会 话 ID 的 特殊 加 密 版 本 的 Cookie 发 送 给 客户 端 。 当 浏览 器 关闭 时 , 这 个 会 话 ID 即 消失 。 
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所 以 Session 生命 期 仅 为 一 次 会 话 的 时 间 , 一 般 为 几 十 分 钟 。 Session 欺骗 就 是 在 只 对 用 户 进 
行 Session 验证 的 系统 中 通过 伪造 的 Session 获得 登录 权限 。 


3。Web 欺骗 的 技巧 


1) 改写 URL 


首先 ， 攻 击 者 改写 Web 页 中 的 所 有 URL 地 址 ， 这 样 它们 指向 了 攻击 者 的 Web 服务 器 
而 不 是 真正 的 Web 服务 器 。 

2) 表单 欺骗 

在 URL 改写 的 基础 上 ， 表 单 欺骗 将 会 进行 得 非常 自然 。 当 受 攻击 者 提交 表单 后 ， 所 提 
交 的 数据 进入 了 攻击 者 的 服务 器 。 攻 击 者 的 服务 器 能 够 观察 甚至 修改 所 提交 的 数据 。 同 样 ， 
在 得 到 真正 的 服务 器 返回 信息 后 ， 攻 击 者 在 将 其 向 受 攻击 者 返回 以 前 也 可 以 为 所 欲 为 。 

3) 设计 攻击 的 导 火 索 

为 了 开始 攻击 ,攻击 者 必须 以 某 种 方式 引诱 受 攻击 者 进入 攻击 者 所 创造 的 错误 的 Web。 
黑客 往往 使 用 下 面 若干 种 方法 。 

(1) 把 错误 的 Web 链接 到 一 个 热门 Web 站 点 上 。 

(2) 如 果 受 攻击 者 使 用 基于 Web 的 邮件 ， 可 以 将 它 指向 错误 的 Web。 

(3) 创建 错误 的 Web 索引 ， 指 示 给 搜索 引擎 。 

4) 完善 攻击 

前 面 描 述 的 攻击 相当 有 效 ， 但 是 它 还 不 是 十 分 完美 的 。 黑 客 往往 还 要 创造 一 个 可 信 的 
环境 ， 包 括 各 类 图 标 、 文 字 、 链 接 等 ， 提 供给 受 攻击 者 各 种 各 样 的 可 信 的 暗示 ， 以 隐藏 一 
切 尾 巴 。 

5) 状态 信息 

状态 信息 显示 在 浏览 器 底部 。Web 欺骗 中 涉及 两 类 信息 。 

(1) 当 和 鼠标 指针 放置 在 Web 链接 上 时 ， 连 接 状态 显示 链接 所 指 的 URL 地 址 。 

(2) 当 Web 连接 成 功 时 ， 连 接 状 态 将 显示 所 连接 的 服务 器 名 称 。 

这 两 项 信息 都 容易 使 攻击 者 露出 尾巴 一 一 URL 或 服务 器 名 称 。 为 此 ， 攻 击 者 往往 通过 
JavaScript 编程 来 弥补 这 两 项 不 足 。 由 于 JavaScript 能 够 对 连接 状态 进行 写 操作 ， 而 且 可 以 
将 JavaScript 操作 与 特定 事件 绑 定 在 一 起 ， 所 以 ， 攻 击 者 完全 可 以 将 改写 的 URL 状态 恢复 
为 改写 前 的 状态 。 这 样 Web 欺骗 将 更 为 可 信 。 

4. 钓鱼 网 站 的 推广 方式 

(1) 即时 通信 推广 。 旺 旺 、MSN 和 QQ 都 属于 即时 通信 工具 ， 骗 子 会 利用 即时 工具 跟 
会 员 沟通 ， 经 常 以 下 列 迷惑 性 情况 直接 向 会 员 发 送 钓鱼 链接 。 

@ 专柜 和 银行 联合 搞 特价 活动 。 

@ 支付 宝 被 监管 。 

@ 宝贝 拍 不 了 ， 被 监管 。 
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@ 商品 出 现下 架 等 。 

(2) 在 论坛 、 博 客 、 微 博 、 问 答 类 网 站 等 发 布 帖子 链接 钓鱼 网 站 ， 往 往 会 用 “我 知道 
一 个 特别 好 的 网 站 ”等 推荐 方式 。 

(3) 通过 手机 短信 和 E-mail 等 批量 发 布 链接 ， 如 冒充 “银行 密码 重 置 邮件 ”， 冒 充 颁奖 
等 欺骗 用 户 点 击 进入 钓鱼 网 站 。 

(4) 在 网 站 上 制作 仿冒 QQ、 阿 里 旺旺 等 知名 软件 的 弹 窗 ， 吸 引用 户 进入 钓鱼 网 站 。 

(5) 在 搜索 引擎 、 中 小 网 站 投放 广告 ， 吸 引用 户 点 击 钓鱼 网 站 链接 ， 此 种 手段 多 被 假 
医药 网 站 、 假 机 票 网 站 所 采用 。 

(6) 使 用 恶意 导航 网 站 、 恶 意 下 载 网 站 弹出 仿真 悬浮 窗口 ， 点 击 后 进入 钓鱼 网 站 。 

(7) 利用 与 正规 网 站 极为 相似 的 域名 ， 混 淆 视听 ， 使 用 户 难 判 真 假 。 表 1.6 为 采用 混淆 
视听 方法 的 几 个 典型 钓鱼 网 站 。 

表 1.6 几 个 采用 混淆 视听 方法 的 钓鱼 网 站 








假 上 网 站 域名 攻击 方式 
www,.lcbe.com.cn wwwicbc.com.cn( 中 国 工商 银行 ) 金融 诈骗 
Www.lenovo.com www.lenovo.com( 联 想 公司 ) 假冒 
www.chsic.com.cn www.chsi.com.cn( 中 国 高 等 教育 学 生 信息 网 ) 发 布 虚 假 学 历 证 书信 息 
www.cnbank-yl.com www.chinaunionpay.com( 中 国 银联 ) 金融 诈骗 





www.chinacharity.cn.net wwwchinacharity.cn( 中 华 慈 善 总 会 ) 利用 废弃 域名 骗取 善 款 


金山 网 络 2013 年 发 布 的 数据 表明 ， 访 问 到 钓鱼 网 站 的 4 个 主要 渠道 是 : 搜索 引擎 
(58.7%)、QQ 等 聊天 工具 〈30.4%)、 手 机 短信 〈10.8%) 和 网 页 弹 窗 广告 (0.1% )。 


5. 钓鱼 网 站 的 逃避 手段 


(1) 境外 注册 域名 ， 逃 避 网 络 监管 。 

(2) 连续 转账 操作 ， 迅 速 转移 网 银 款 项 。 

6. 钓鱼 网 站 的 防范 

1) 查验 “可 信 网 站 ” 

通过 第 三 方 网 站 身份 诚信 认证 辨别 网 站 的 真实 性 。 不 少 网 站 已 在 网 站 首页 安装 了 第 三 
方 网 站 身份 诚信 认证 一 一 “可 信和 网 站 ”， 可 帮助 网 民 判 断 网 站 的 真实 性 。“ 可 信和 网 站 ”验证 
服务 通过 对 企业 域名 注册 信息 、 网 站 信息 和 企业 工商 登记 信息 进行 严格 交互 审核 来 验证 网 
站 真实 身份 ， 通 过 认证 后 ， 企 业 网 站 就 进入 中 国 互联 网 络 信 息 中 心 (CNNIC) 运行 的 国家 
最 高 目录 数据 库 中 的 “可 信和 网 站 ” 子 数据 库 中 ， 从 而 全 面 提升 企业 网 站 的 诚信 级 别 ， 网 民 可 
通过 点 击 网 站 页 面 底部 的 “可 信和 网 站 ”标识 确认 网 站 的 真实 身份 。 网 民 在 网 络 交 易 时 应 养 成 
查看 网 站 身份 信息 的 使 用 习惯 。 企 业 也 要 安装 第 三 方 身份 诚信 和 标识， 加强 对 消费 者 的 保护 。 

2) 核对 网 站 域名 

假冒 网 站 一 般 和 真实 网 站 有 细微 区 别 ， 有 疑问 时 要 仔细 辨别 其 不 同 之 处 ， 例 如 在 域名 
方面 , 假冒 网 站 通常 将 英文 字母 I 蔡 换 为 数字 1, CCTYV 被 换 成 CCYV 或 者 CCTV-VIP 这 样 
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的 仿造 域名 。 

3) 比较 网 站 内 容 

假冒 网 站 上 的 字体 样式 不 一 致 ， 并 且 模 糊 不 清 。 假 冒 网 站 上 没有 链接 ， 用 户 可 单 击 栏 
目 或 图 片 中 的 各 个 链接 看 是 否 能 打开 。 

4) 查询 网 站 备案 

通过 ICP 备案 可 以 查询 网 站 的 基本 情况 、 网 站 拥有 者 的 情况 ， 对 于 没有 合法 备案 的 非 
经 营 性 网 站 或 没有 取得 ICP 许可 证 的 经 营 性 网 站 ， 根 据 网 站 性 质 ， 将 予以 罚款 ， 严 重 的 关 
闭 网 站 。 

5) 查看 安全 证 书 

大 型 的 电子 商务 网 站 都 应 用 了 可 信 证 书 类 产品 ， 这 类 网 站 网 址 都 是 https 打头 的 ， 如 果 
发 现 不 是 https 开头 ， 应 谨慎 对 待 。 
1.4.7 ” 伪 基 站 攻击 

1. 基站 与 伪 基 站 

在 移动 通信 中 ， 为 了 扩大 覆盖 范围 ， 除 了 可 以 采用 卫星 外 ， 一 种 有 效 的 方法 是 采用 
图 1.43 (a) 所 示 的 蜂窝 技术 。 如 图 1.43 (b) 所 示 ， 基 站 是 指 在 一 定 的 无 线 电 覆盖 区 中 ， 
通过 移动 通信 交换 中 心 ， 与 移动 电话 终端 之 间 进 行 信息 传递 的 无 线 电 收 发 信 电 台 。 一 个 小 
区 的 用 户 通 信 都 要 通过 该 小 区 的 基站 。 或 者 说 ， 基 站 可 以 控制 所 在 区 的 用 户 通信 ， 获 取 该 
小 区 用 户 的 通信 有 关 信 息 。 
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图 1.43 ”蜂窝 通信 及 其 基站 
“ 伪 基 站 ”(pseudo base station) 即 假 基站 ， 设 备 一 般 由 主机 和 笔记 本 电脑 组 成 。 伪 基站 
设备 运行 时 ， 用 户 手机 被 强制 连接 到 该 设备 上 ， 导 致 手机 无 法 正常 使 用 运营 商 提 供 的 服务 ， 
手机 用 户 一 般 会 暂时 脱 网 8 一 12s 后 恢复 正常 ， 部 分 手机 则 必须 开关 机 才能 重新 入 网 。 这 个 
短暂 的 脱 网 ， 就 是 伪 基 站 实施 攻击 的 机 会 。 这 时 ， 伪 基站 通过 短信 和 群发 器 、 短 信 发 信 机 等 
»*80* 

















相关 设备 能 够 搜 取 以 其 为 中 心 、 一 定 半径 范围 内 的 手机 卡 信息 ， 利 用 2G 移动 通信 的 缺陷 ， 
通过 伪装 成 运营 商 的 基站 ， 冒 用 他 人 手机 号 码 强行 向 用 户 手 机 发 送 诈骗 、 广 告 推销 等 短信 息 。 

2. 伪 基 站 的 主要 作案 手法 

1) 利用 GSM 协议 漏洞 ， 冒 充 其 他 号 码 诈骗 

GSM 通信 协议 存在 问题 , 老式 的 SIM 卡 并 没有 验证 呼叫 方 是 否 合法 , 也 无 法 验证 SMS 
短信 发 送 方 是 否 来 自 真实 的 手机 。 伪 基站 利用 这 个 漏洞 , 可 以 随意 以 某 些 特别 号 码 , 如 10086 
或 95588 等 发 送 短信 ， 使 手机 用 户 误 以 为 真 的 是 运营 商 、 银 行 或 其 他 商家 发 送 的 短信 。 以 
此 进行 诈骗 。《 全 国 首 份 伪 基 站 短信 治理 报告 》 显 示 ，70.2% 的 诈骗 短信 冒充 运营 商 诱导 用 
户 点 击 恶意 网 址 ，19.4% 的 诈骗 短信 冒充 银行 实施 诈骗 :4.6% 的 诈骗 短信 内 容 为 欺骗 用 户 订 
低 价 机 票 ， 诱 骗 回 拨 电 话 进行 诈骗 。 报 告 建议 ， 不 要 轻信 陌生 号 码 发 来 的 短信 ， 更 不 要 随 
意 点 击 陌生 链接 ， 即 使 是 常见 的 服务 号 或 好 友 号 码 ， 也 要 对 短信 内 容 进行 甄别 ， 最 好 回 拨 
电话 进行 咨询 验证 。 

2012 年 9 月 至 11 月 ， 深 圳 有 一 起 全 国 首 例 入 刑 的 “ 伪 基 站 ”案件 ， 汪 某 团伙 在 深圳 宝 
安 机 场 利 用 一 台 伪 基站 设备 发 送 机 票 广告 短信 ， 非 法 获取 62 万 部 手机 信息 ， 导 致 机 场 众多 
手机 用 户 无 法 通话 ， 造 成 区 域 手机 通话 业务 量 损失 达 100 余万元 。 深 圳 一 名 司机 介绍 ， 他 
到 机 场 后 手机 经 常 信号 不 好 ， 有 一 次 中 断 了 2 个 小 时 。 

2) 注册 “钓鱼 ”网 站 ， 实 施 “ 钓 鱼 ” 式 诈骗 

钓鱼 泛 指 网 络 诈骗 者 利用 发 送 不 实 信息 来 诱惑 用 户 上 当 ， 从 而 达到 获得 用 户 数据 信 
息 的 诈骗 行为 。 伪 基站 “钓鱼 ”手法 与 之 相似 ， 诈 骗 者 首先 会 注册 大 量 与 运营 商 或 银行 
等 的 官网 类 似 的 域名 ， 然 后 将 事先 注册 好 的 钓鱼 域名 与 钓鱼 系统 〈 网 站 、 手 机 应 用 ) 通 
过 伪 基 站 发 送 。 短 信 的 内 容 一 般 为 “尊敬 的 用 户 ， 因 您 的 话费 积分 没有 兑换 即将 清 零 ， 
请 登录 XX 网 站 , 下 载 客户 端 兑 换 287.80 元 现金 礼包 ” 然后 选择 银行 卡 类 型 并 填写 相关 信 
息 〈 姓 名 、 手 机 、 账 号 、 身 份 证 、 密 码 、 有 效 期 、CVV2 等 )， 最 终 这 些 敏感 的 信息 被 入 库 
记录 进行 洗钱 。 手 机 木马 负责 拦截 用 户 短信 ， 并 将 如 银行 交易 验证 码 等 关键 信息 发 给 远 
程 的 黑客 。 

2015 年 2 月 初 ， 市 民 郑 女士 在 上 班 时 收 到 10086 发 来 的 一 条 短信 ， 称 郑 女士 有 大 量 积 
分 ， 可 以 兑换 一 笔 金额 不 小 的 话费 。“10086 经 常 发 送 一 些 话费 信息 ， 而 且 我 看 到 短信 的 发 
送 号 码 是 10086， 因 此 深信 不 疑 ,” 郑 女士 表示 ， 她 随后 点 击 了 短信 上 附带 的 网 址 链接 ， 进 
入 了 一 个 兑换 话费 的 网 页 ， 并 按 提示 输入 了 自己 的 支付 宝 账 号 密码 和 银行 卡 密码 。 郑 女士 
等 了 几 天 ， 说 好 的 话费 却 迟 迟 没有 到 账 。 更 蹊跷 的 是 ， 她 发 现 自 己 在 支付 宗 上 绑 定 的 三 张 
银行 卡 内 ， 资 金 缩水 了 。 经 查询 资金 流水 ， 她 发 现 2.7 万 元 被 盗 。 

2015 年 3 月 27 日 ,国内 互联 网 安全 漏洞 平台 乌云 网 发 布 一 则 名 为 《一 场 钓鱼 引发 的 大 
量 网 银 密码 泄露 (各 大 银行 均 有 中 招 )》 的 告示 说 ， 攻 击 者 利用 10086 伪 基 站 进行 钓鱼 ， 通 
过 让 用 户 点 击 兑换 积分 实施 诈骗 。 登 录 该 页 面 可 获得 用 户 登录 网 银 、 身 份 证 、 密 码 等 信息 。 
乌云 网 “ 白 帽 子 ” 破 解 该 网 站 的 后 台 系 统 ， 登 录 后 发 现 每 一 个 伪 基 站 都 掌握 7000 条 以 上 的 
银行 卡 数据 。 根 据 用 户 账 号 可 成 功 登录 该 用 户 的 网 银 界面 。 根 据 乌 云 网 统计 ， 从 伪 基 站 污 
露 银 行 卡 信息 的 用 户 粗 略 估算 有 数 百 万 个 ，2015 年 每 年 大 约 有 十 万 用 户 被 骗 信 息 。 
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3) 不 断 变化 位 置 ， 进 行 反 侦察 

伪 基 站 具有 很 强 的 流动 性 ， 通 常 将 “ 伪 基 站 ”设备 放置 在 汽车 内 ， 驾 车 缓慢 行驶 或 将 
车 停 在 特定 区 域 ， 进 行 短信 诈骗 或 广告 推销 。 例 如 有 一 个 团伙 ， 就 经 常 在 银行 附近 发 送 诈 
骗 短 信 。 他 们 还 使 用 游击 战 ， 一 般 一 个 地 方 只 待 一 天 ， 有 的 团伙 甚至 转战 20 多 个 省 市 。 

4) 其 他 

伪 基 站 还 会 导致 手机 用 户 频 繁 地 更 新 位 置 ， 使 得 该 区 域 的 无 线 网 络 资源 紧张 并 出 现 网 
络 拥塞 现象 ， 影 响 用户 的 正常 通信 。 


15 数据 驱动 型 攻击 


数据 驱动 型 攻击 是 通过 向 某 个 程序 发 送 数据 ， 以 产生 非 预期 结果 的 攻击 ， 通 常 为 攻击 
者 给 出 访问 目标 系统 的 权限 。 它 分 为 缓冲 区 溢出 攻击 、 格 式 化 字符 串 攻 击 、 整 数 溢出 攻击 、 
葵 浮 指针 攻击 、 同 步 漏 洞 攻 击 和 信任 漏洞 攻击 等 。 本 节 介 绍 出 现 较 多 的 前 面 两 种 。 


1.5.1 缓冲 区 溢出 攻击 


1988 年 ， 臭 名 昭著 的 Robert Morris 蠕虫 事件 曾 造 成 全 世界 6000 多 台 网 络 服务 器 瘫痪 ， 
给 这 些 用 户 总 共 带 来 约 200 万 一 6000 万 美元 的 损失 。 从 此 ，Hacker 一 词 开始 被 赋予 了 特定 
的 含义 ,罗伯特 。 莫 里 斯 的 名 字 也 广为人知 。 他 使 用 的 就 是 缓冲 区 溢出 攻击 (buffer overflow 
attack )。 


1. 缓冲 区 溢出 

缓冲 区 是 程序 运行 时 在 内 存 中 为 保存 给 定 类 型 的 数据 而 开辟 的 一 个 连续 空间 。 这 个 空 
间 是 有 限 的 。 当 程序 运行 过 程 中 要 放 入 缓冲 区 的 数据 太 多 时 ， 就 会 产生 缓冲 区 溢出 。 请 看 
下 面 的 例子 。 

例 1.1 一 个 C 函数 。 

















void function (char *str) { 
char buffer[16]; 
strcpy (buffer, str); 

} 


为 了 测试 这 个 函数 ， 可 以 使 用 等 价 分 类 法 ， 设 计 两 种 字符 串 。 

(1) str 的 长 度 小 于 16。 

(2) str 的 长 度 大 于 16。 

显然 ， 使 用 测试 数据 (1)， 应 该 没有 什么 问题 ， 使 用 测试 数据 (2)， 就 会 造成 buffer 
的 溢出 ， 出 现 Segmentation fault 〈 分 段 错误 )。 因 为 函数 strcpy() 没 有 进行 变量 边界 的 检查 ， 
导致 缓冲 区 溢出 了 。 除 了 strcpy0 外 ， 存 在 类 似 问题 的 标准 函数 还 有 strcat()、sprintfD)、 
vsprintf)、gets0 和 scanf() 等 。 

但 是 ， 这 时 并 没有 形成 攻击 ， 只 能 算 作 程 序 设 计 不 严谨 ， 形 成 了 应 用 程序 的 漏洞 。 
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2. 缓冲 区 溢出 攻击 


利用 缓冲 区 溢出 漏洞 ， 黑 客 可 以 精心 策划 两 种 攻击 。 

(1) 利用 缓冲 区 溢出 ， 关 闭 某 程序 或 使 其 无 法 执行 。 图 1.44 表明 了 函数 栈 帧 的 结构 和 
在 栈 中 的 位 置 。 其 中 ， 栈 项 指针 〈Stack Pointer，SP) 用 于 指示 栈 顶 的 偏 移 地 址 ， 基 数 指针 
(Base Pointer，BP) 用 于 确定 在 堆栈 中 的 操作 数 地 址 。 函 数 调用 发 生 时 ， 新 的 堆栈 帧 被 压 入 
堆栈 ， 当 函数 返回 时 ， 相 应 的 堆栈 帧 从 堆栈 中 弹出 。 对 于 一 个 输入 来 说 ， 如 果 发 生 了 缓冲 
区 溢出 ， 有 可 能 使 过 多 的 输入 数据 进入 内 存 的 其 他 区 域 ， 而 这 个 区 域内 存放 着 另外 一 个 程 
序 的 代码 ， 这 些 数 据 会 覆盖 这 个 程序 的 部 分 代码 ， 使 该 程序 不 能 正常 运行 、 错 误 地 关闭 或 
无 法 执行 。 这 种 情形 可 能 发 生 在 本 地 ( 称 为 本 地 溢出 ), 也 可 能 发 生 在 远程 ( 称 为 远程 洪 出 )。 
例如 ， 一 个 用 户 要 登录 远程 的 某 服务 器 ， 首 先 要 进行 登录 ， 输 入 密码 。 如 果 该 服务 器 的 登 
录 程 序 有 缓冲 器 溢出 漏洞 ， 则 可 能 会 导致 服务 器 的 某 些 程序 关闭 。 特 别 是 扰乱 具有 某 些 特 
权 运 行 的 程序 的 功能 ， 就 可 以 使 攻击 者 取得 程序 的 控制 权 。 

(2) 启动 一 个 恶意 代码 。 如 图 1.45 所 示 ， 利 用 缓冲 区 溢出 还 有 可 能 使 得 一 个 函数 返回 



























































一 个 恶意 代码 的 地 址 。 
高 地 址 商业 
恶意 代码 
上 一 个 函数 
的 栈 帧 小 须 人 这 ) 
EE |p ep 
(| 上 一 个 函数 \| Xx 
是 || “的 基站 最 | 
4 栈 
中 临时 变量 帧 | 久居 光 x 
则 一 一 SP 民 
低地 址 人 
图 1.44 函数 栈 帧 的 结构 图 1.45 ”缓冲 区 溢出 攻击 


3. 缓冲 区 溢出 防御 措施 

(1) 编写 安全 的 代码 。 尽 可 能 设计 和 编写 安全 没有 漏洞 的 程序 ， 避 免 程序 中 有 不 检查 
变量 、 缓 冲 区 大 小 及 边界 等 情况 存在 。 例 如 ， 使 用 grep 工具 搜索 源 代码 中 容易 产生 漏洞 的 
库 调用 ， 检 测 变量 的 大 小 和 数组 的 边界 ， 对 指针 变量 进行 保护 ， 以 及 使 用 具有 边界 和 大 小 
检测 功能 的 程序 设计 语言 编译 器 等 。 

(2) 基于 一 定 的 安全 策略 设置 系统 。 如 攻击 者 攻击 某 个 Linux 系统 ,必须 事先 通过 某 些 
途径 对 要 攻击 的 系统 做 必要 的 了 解 ， 如 版 本 信息 等 ， 然 后 再 利用 系统 的 某 些 设置 直接 或 间 
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接地 获取 控制 权 。 因 此 ， 防 范 缓冲 区 溢出 攻击 就 要 对 系统 设置 实施 有 效 的 安全 策略 。 

减少 以 root 权限 运行 的 代码 。 减 少 使 用 SUID 的 root 程序 。 这 样 即使 攻击 者 成 功 地 执 
行 了 缓冲 区 溢出 攻击 ， 他 们 还 得 继续 把 自己 的 特权 升级 到 root。 

(3) 保护 堆栈 。 主 要 有 以 下 两 种 措施 。 

Q@ 加 入 函数 建立 和 销毁 代码 。 前 者 在 函数 返回 地 址 后 增加 一 些 附加 字 节 ， 返 回 时 要 检 
查 这 些 字 节 有 无 被 改动 。 

@ 使 堆栈 不 可 执行 一 一 非 执 行 缓冲 区 技术 ， 使 入 侵 者 无 法 利用 缓冲 

(4) 测试 并 审核 每 个 程序 。 

(5) 安装 由 厂家 提供 的 所 有 相关 的 安全 补丁 。 


1.5.2 ”格式 化 字符 串 攻 击 


格式 化 字符 串 攻 击 与 普通 缓冲 区 溢出 攻击 有 一 些 相似 之 处 ， 但 又 有 不 同 。 普 通 的 缓冲 
区 溢出 攻击 利用 的 是 堆栈 生长 方向 与 数据 存储 方向 相反 ， 用 后 存 入 的 数据 来 履 盖 先前 压 栈 
的 返回 地 址 ， 从 而 改变 程序 预定 的 流程 。 而 格式 化 字符 串 攻 击 是 利用 程序 中 的 一 些 本 应 指 
定 用 户 输入 格式 ， 却 没有 严格 指定 用 户 输入 格式 的 函数 ， 通 过 提交 特殊 的 格式 字符 串 进行 
攻击 。 


1. 格式 化 字符 串 函 数 族 


ANSI C 定义 了 一 系列 的 格式 化 字符 串 函 数 。 

printf， 输 出 到 一 个 stdout 流 。 

fprintf， 输 出 到 一 个 文件 流 。 

sprintf: 输出 到 一 个 字符 串 。 

snprintf: 输出 到 一 个 字符 串 并 检查 长 度 。 

vprintf; 从 va_arg 结构 体 输出 到 一 个 stdout 流 。 

vfprintf 从 va_arg 结构 体 输出 到 一 个 文件 流 。 

Vsprintf; 从 va_arg 结构 体 输 出 到 一 个 字符 串 。 

vsnprintf: 从 va_arg 结构 体 输 出 到 一 个 字符 串 并 检查 长 度 。 

另外 , 还 有 基于 这 些 函 数 的 复杂 函数 和 非 标准 函数 , 包括 setproctitle syslog、 err*、verr*、 
warm 和 *vwarm 等 。 

这 些 函 数 有 一 个 共同 的 特点 , 即 都 要 求 使 用 一 个 格式 化 字符 串 。 例如, 对 于 printf 函数 ， 
它 的 第 一 个 参数 就 是 格式 化 字符 串 。 


2. 格式 化 字符 串 漏洞 


为 了 说 明 对 格式 化 字符 串 使 用 不 当 而 产生 的 格式 化 字符 串 漏洞 ， 请 先 看 下 面 的 程序 。 
例 1.2 


#include <stdio.h> 
int main() { 

















Xl 








Char *name; 
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下 面 是 该 函数 的 两 次 运行 结果 : 


也 就 是 说 ， 当 输入 abcde 时 ， 输 出 仍然 是 abcde。 而 当 输入 “%08x,%08x,%08x” 时 ， 
输出 的 却 是 “000002e2,0000fe4,0000011d”。 这 就 是 格式 化 字符 串 漏洞 所 造成 的 问题 。 因 
为 ， 在 printf 函数 中 ，s 被 解释 成 了 格式 化 字符 串 。 当 调用 该 函数 时 ， 首 先 会 解析 格式 化 
字符 串 ， 一 次 取 一 个 字符 进行 分 析 : 如 果 字 符 不 是 %， 就 将 其 原样 输出 ， 若 字符 是 %， 
则 其 后 面 的 字符 就 要 按照 格式 化 参数 进行 解析 。 当 输入 abcde 时 ， 由 于 没有 包含 %， 所 以 
每 个 字符 都 被 原样 输出 了 。 而 当 输 入 “%08x,%08x,%08x” 时 ， 就 要 将 每 个 % 后 面 的 x 都 
解释 为 一 个 十 六 进 制 的 数据 项 ， 但 函数 没有 这 样 3 个 数据 项 。 于是， 就 将 堆栈 中 从 当前 堆 
栈 指针 向 堆栈 底部 方向 的 3 个 地 址 的 内 容 按 十 六 进 制 输出 出 来 ， 这 就 是 
“000002e2,0000fe4,0000011d”。 

这 就 给 人 们 一 个 启发 : 当 格 式 化 字符 串 中 包含 有 许多 % 时 , 就 会 有 机 会 访问 到 一 个 非法 
地 址 。 


3. 格式 化 字符 串 攻 击 的 几 种 形式 
(1) 查看 内 存 堆栈 指针 开始 的 一 些 地 址 的 内 容 。 使 用 类 似 于 


的 语句 ， 可 以 输出 当前 堆栈 指针 向 栈 底 方向 的 一 些 地 址 的 内 容 ， 甚 至 可 以 是 超过 栈 底 之 外 
的 内 存 地 址 的 内 容 。 

(2) 查看 内 存 任 何 地址 的 内 容 。 所 查看 的 内 存 地 址 内 容 也 可 以 从 任何 一 个 地 址 开始 的 
内 存 内 容 。 例 如 ， 语 句 


将 会 从 地 址 0x08850220 开始 ， 查 看 连续 3 个 地 址 的 内 容 。 

(3) 修改 内 存 任何 地 址 的 内 容 。 格 式 化 字符 串 函数 还 可 以 使 用 一 个 格式 字符 %n。 它 的 
作用 是 将 已 经 打印 的 字 节 数 写 入 一 个 变量 。 请 观察 下 面 的 程序 。 

例 1.3 
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程序 运行 的 结果 如 下 : 


即 i 的 值 为 前 面 已 经 打印 的 字符 串 china 的 长 度 5。 利 用 这 一 点 ， 很 容易 改变 某 个 内 存 变量 


用 数据 1 的 宽度 108 来 修改 变量 i 的 值 。 而 语句 


是 用 字符 串 " "加 上 字符 串 123 的 存放 宽度 23+3 来 修改 变量 i 的 值 。 
使 用 同样 的 办 法 ， 可 以 向 进程 空间 中 的 任意 地 方 写 一 个 字 节 ， 以 达到 下 面 的 目的 。 
@ 通过 修改 关键 内 存 地 址 内 容 ， 实 现 对 程序 流程 的 控制 。 
@ 覆盖 一 个 程序 储存 的 UID 值 ， 以 降低 和 提升 特权 。 
@ 覆盖 一 个 执行 命令 。 
@ 覆盖 一 个 返回 地 址 ， 将 其 重 定向 到 包含 shell code 的 缓冲 区 中 。 


1.6 ”拒绝 服务 攻击 


1.6.1 拒绝 服务 攻击 及 其 基本 方法 


拒绝 服务 (Denial of Service，DoS ) 攻击 并 不 是 某 一 种 具体 的 攻击 方式 ， 而 是 攻击 所 表 
现 出 来 的 结果 ， 其 最 终 使 得 目标 系统 因 遭 受 某 种 程度 的 破坏 而 不 能 继续 提供 正常 的 服务 ， 
甚至 导致 物理 上 的 瘫痪 或 崩溃 。 具 体 的 攻击 方法 可 以 是 多 种 多 样 的 ， 可 以 是 单一 的 手段 ， 
也 可 以 是 多 种 方式 的 组 合 利 用 ， 最 基本 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 
服务 资源 。 下 面 介绍 几 种 典型 的 拒绝 服务 攻击 。 
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1. IP 碎片 攻击 


1) PP 碎片 与 全 碎片 漏洞 

数据 链 路 层 对 于 所 传输 的 帧 有 一 个 长 度 限制 ， 不 允许 超过 最 大 传输 单元 (Maximum 
Transmission Unit MTU)。 不 同 网 络 的 MTU 值 不 相同 ， 以 太 网 的 MTU 为 1500, IEEE 
802.3/802.2 为 1492。 这 个 值 可 以 用 netstat -i 查看 。 

由 于 在 人 P 层 中 ， 数 据 包 要 由 数据 部 分 加 上 IP 头 ( 长 度 为 20) 和 传输 层 分 组 头 (UDP 
头 长 度 为 8)， 所 以 当 要 传输 UDP 分 组 时 ， 数 据 部 分 只 能 有 1500-20-8=1472。 数 据 部 分 大 
于 这 个 值 ， 就 要 进行 分 片 〈fragmentation ) 以 满足 在 以 太 网 中 的 传输 要 求 。 但 是 ， 数 据 被 分 
片 后 ， 组 成 一 个 耳 包 的 各 分 片 都 到 达 目 的 主机 时 才 进 行 重组 。 因 此 ， 分 片 会 导致 传输 效率 
降低 。 

在 了 协议 规范 中 规定 了 一 个 耳 包 的 最 大 尺寸 , 而 大 多 数 的 包 处 理 程序 又 假设 包 的 长 度 
超过 这 个 最 大 尺寸 这 种 情况 是 不 会 出 现 的 。 因 此 ， 包 的 重组 代码 所 分 配 的 内 存 区 域 也 最 大 
不 超过 这 个 最 大 尺寸 。 这 样 ， 超 大 的 包 一 旦 出 现 ， 包 中 的 额外 数据 就 会 被 写 入 其 他 正常 区 
域 。 这 很 容易 导致 系统 进入 非 稳定 状态 ， 是 一 种 典型 的 缓存 溢出 〈buffer overflow) 攻击 。 

2) 死亡 之 ping (ping of death) 攻击 

死亡 之 ping 是 早期 使 用 的 一 种 简单 的 卫 分 片 攻 击 。ping 是 网 际 控制 消息 协议 (Internet 
Control Message Protocol，ICMP ) 中 的 一 个 应 用 程序 。ICMP 是 一 种 差错 报告 机 制 ， 可 以 
让 路 由 器 或 目标 主机 将 遇 到 的 差错 报告 给 源 主机 ， 以 弥补 IP i 
协议 无 连接 、 无 差错 报告 和 差错 纠正 机 制 的 不 足 。 如 图 1.46 : , 
所 示 ，ICMP 报 文 始终 包含 IP 首部 和 产生 ICMP 差错 报 文 的 。 [IP 首部 IP 数 据 
IP 数据 报 的 前 8 个 字 节 (64KB)。 由 于 这 一 特点 , 早期 的 许多 。 图 1.46 ICMP 分 组 的 封装 
操作 系统 在 处 理 ICMP《〈 如 接收 ICMP 数据 报 文 ) 时 ， 只 开辟 
64KB 的 缓存 区 。 在 这 种 情况 下 ， 一 旦 处 理 的 数据 报 的 实际 长 度 超过 64KB， 操 作 系统 将 
会 产生 一 个 缓冲 溢出 ， 引 起 内 存 分 配 错误 ， 最 终 导致 TCP/IP 协议 堆栈 的 崩溃 ， 造 成 主机 
死机 。 

ping 通过 发 送 ICMP 测试 包 来 测试 一 台 主 机 的 可 达 性 。 死 亡 之 ping 进行 攻击 时 ， 可 以 
执行 以 下 命令 : 


ping -1 65535 目标 IP -t 


其 中 : 

参数 1 (L) 用 于 指定 包 的 长 度 ， 这 里 是 65 535。 因 为 P 包头 中 用 于 指定 卫 数据 包 长 
度 的 字段 为 2B， 所 以 一 个 卫 数据 包 的 最 大 长 度 为 2%-=65 536。 取 65 535 已 是 相当 大 了 。 

参数 t (T) 要 求 一 直 ping。 这 时 ， 对 方 的 主机 若 存在 这 种 漏洞 ， 就 会 形成 一 次 拒绝 服 
务 攻击 。 但 是 ， 现 在 的 操作 系统 所 附带 的 ping 程序 都 限制 了 发 送 数据 包 的 大 小 。 因 而 这 样 
的 攻击 已 经 不 再 可 能 。 
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2.“ 泪 滴 ”(teardrop) 


“ 泪 滴 ”攻击 就 是 入 侵 者 伪造 数据 报 文 ， 向 目标 机 发 送 含 有 重 炙 偏 移 的 畸形 数据 分 段 : 
第 一 个 包 的 偏 移 量 为 0, 长度 为 N; 第 二 个 包 的 偏 移 量 小 于 N…… 如 图 1.47 所 示 。 这 样 的 畸 
形 分 片 传送 到 目的 主机 后 ， 在 堆栈 中 重组 时 ， 需 要 超 乎 寻常 的 巨大 资源 ， 从 而 造成 系统 资 
源 的 缺乏 ， 协 议 栈 衣 省 。 
入 侵 者 
1 








! PSH 2049:3072… 
1 





PSH 1000:2048(1024)… 











1 








PSH 1:1024… 








重 装 出 错 目标 主机 
图 1.47 含有 重 受 偏 移 的 畸形 数据 分 片 





3. UDP“ 洪 水 ”(UDP flood) 


UDP“ 洪 水 ” 也 称 为 UDP 淹没 ， 是 基于 主机 的 拒绝 服务 攻击 的 一 种 。 其 原理 非常 简 
单 ， 因 为 UDP 是 一 种 无 连接 的 协议 ， 不 需要 用 任何 程序 建立 连接 就 可 以 传送 数据 。 这 样 ， 
攻击 者 只 要 开启 一 个 端口 提供 相关 的 服务 ， 就 可 以 对 攻击 对 象 实施 针对 相关 服务 的 攻击 。 
常见 的 情况 是 利用 大 量 UDP 小 包 对 DNS 服务 器 、Radius 认证 服务 器 、 流 媒体 服务 器 以 及 
防火 墙 等 发 起 攻击 ， 造 成 网 络 瘫痪 。 例 如 ， 攻 击 可 以 针对 Echo/Chargen 服务 进行 。 
Echo/Chargen 服务 是 TCP/IP 为 UDP 提供 的 两 种 服务 。Echo 的 作用 就 是 由 接收 端 将 接收 到 
的 数据 内 容 返 回 到 发 送 端 ，Chargen 则 随机 返回 字符 。 这 样 简单 的 功能 ， 为 网 络 管理 员 提 供 
了 进行 可 达 性 测试 、 协 议 软件 测试 和 选 路 识别 的 重要 工具 ， 也 为 黑客 进行 “洪水 ”攻击 提 
供 了 方便 。 当 入 侵 者 假冒 一 台 主 机 向 另 一 台 主 机 的 服务 端口 发 送 数据 时 ，Echo 服务 或 
Chargen 服务 就 会 自动 回复 。 两 台 主 机 之 间 的 互相 回 送 会 形成 大 量 数据 包 。 当 多 台 主 机 之 间 
相互 产生 回 送 数据 包 时 ， 最 终 会 导致 系统 瘫痪 。 





4. SYN“ 洪 水 ”(SYN flood) 与 Land 


SYN flood 是 当前 最 流行 的 拒绝 服务 攻击 方式 之 一 。 它 是 一 种 利用 TCP 协议 缺陷 ， 发 
送 大 量 伪造 的 TCP 连接 请 求 ， 从 而 使 得 被 攻击 方 资源 耗 尽 (CPU 满 负 荷 或 内 存 不 足 ) 的 攻 
击 方式 。 

这 种 攻击 的 基本 原理 还 是 要 从 TCP 连接 建立 的 过 程 一 一 三 次 握手 (three-way handshake) 
说 起 。 这 个 三 次 握手 过 程 存在 着 漏洞 : 假设 一 个 客户 向 服务 器 发 送 了 SYN 报 文 后 突然 死机 
或 掉 线 ,那么 服务 器 在 发 出 SYN+ACK 应 答 报 文 后 就 无 法 收 到 客户 端的 ACK 报 文 , 使 第 三 
次 握手 无 法 完成 。 而 服务 器 并 不 知道 客户 端 发 生 了 什么 情况 ， 于 是 就 会 重 试 ， 再 次 发 送 
SYN+ACK 给 客户 端 ， 并 等 待 一 段 时 间 一 一 SYN Timeout (大 约 为 30 秒 至 2 分 钟 ) 后 丢弃 
这 个 半 连 接 。 这 个 情况 似乎 很 正常 ， 但 只 能 说 在 正常 情况 下 很 正常 。 而 在 非 正常 情况 下 ， 
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就 会 出 现 问题 ， 因 为 它 使 攻击 者 有 机 可 乘 : 假如 攻击 者 大 量 模拟 这 种 情况 ， 服 务 器 端 将 要 
维护 一 个 非常 大 的 半 连 接 列表 ， 即 便 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 
存 ， 何 况 还 要 不 断 地 对 这 个 列表 中 的 IP 进行 SYN+ACK 的 重 试 。 这 种 情况 下 ， 若 服务 器 的 
TCP/IP 栈 不 够 强大 ， 最 后 就 会 导致 堆栈 溢出 使 系统 崩 演 ;即使 服务 器 端的 系统 足够 强大 ， 
服务 器 端 也 会 因 忙于 处 理 攻击 者 伪造 的 TCP 连接 请 求 而 无 暇 理 皮 客 户 的 正常 请 求 ， 使 服务 
器 无 法 再 服务 。 

Land 也 是 利用 三 次 握手 的 缺陷 进行 攻击 ; 但 它 不 是 依靠 伪造 的 地 址 ， 而 是 先 发 出 一 个 
特殊 的 SYN 数据 包 ， 包 中 的 源 地 址 和 目标 地 址 都 是 目标 主机 。 这 样 ， 就 会 让 目标 主机 向 自 
己 回 以 SYN+ACK 包 ， 导 致 自 己 又 给 自己 回 一 个 ACK 并 建立 自己 与 自己 的 连接 。 大 量 这 样 
的 无 效 连接 达到 一 定数 量 ， 将 会 拒绝 新 的 连接 请 求 。 

5. MAC Flood 攻击 


MAC Flood 攻击 是 针对 交换 机 的 攻击 。 在 交换 式 局 域 网 中 ， 利 用 交换 地 址 映射 表 ， 将 
从 一 个 端口 (MAC) 接收 到 的 数据 转发 到 另外 的 端口 (MAC )。 交 换 机 型 号 不 同 ，MAC 地 
址 表 中 可 容纳 的 MAC 地 址 数量 也 不 同 。 在 正常 情况 下 , MAC 地 址 表 的 容量 是 足够 使 用 的 。 
另 一 方面 ， 为 了 使 交换 机 地 址 映射 表 不 被 过 期 的 地 址 挤 满 ， 交 换 机 常 使 用 动态 交换 地 址 映 
射 表 , 其 特点 是 规定 了 一 个 age time 一 一 MAC 地 址 老化 时 间 , 默认 为 5 分 钟 。 如 果 在 age time 
没有 收 到 过 任何 MAC 地 址 表 条 目的 数据 帧 ， 则 将 该 MAC 地 址 条 目 删 除 。 

利用 MAC 地 址 映射 表 进行 攻击 时 ， 攻 击 者 可 以 使 用 一 个 程序 ， 伪 造 大 量 包 含 随机 源 
MAC 地 址 的 数据 帧 发 往 交换 机 。 由 于 有 些 攻击 程序 1 分 钟 就 可 以 发 出 十 几 万 个 伪造 的 MAC 
地 址 , 而 交换 机 一 般 MAC 地 址 表 只 有 几 千 条 , 所 以 瞬间 就 会 把 交换 机 的 MAC 地 址 表 填 满 。 
于 是 ， 交 换 机 再 接 到 数据 ， 不 管 是 单 播 、 广 播 还 是 组 播 ， 都 找 不 到 需要 的 地 址 表 条 目 ， 无 
法 找到 对 应 的 端口 进行 转发 ， 只 能 向 所 有 端口 广播 。 


1.6.2 分布 式 拒绝 服务 攻击 


分 布 式 拒 绝 服 务 (Distributed Denial of Service，DDoS ) 攻击 指 借助 于 客户 /服务 器 技术 ， 
将 多 个 计算 机 联合 起 来 作为 攻击 平台 ， 对 一 个 或 多 个 目标 发 动 DoS 攻击 ， 从 而 成 倍 地 提高 
拒绝 服务 攻击 的 威力 。 通 常 ， 攻 击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程序 安装 在 一 个 计算 
机 上 ， 在 一 个 设 定 的 时 间 主 控 程 序 将 与 大 量 代理 程序 通信 ， 代 理 程 序 已 经 被 安装 在 Internet 
上 的 许多 计算 机 上 。 代 理 程序 收 到 指令 时 就 发 动 攻击 。 利 用 客户 /服务 器 技术 ， 主 控 程 序 能 
在 几 秒 钟 内 激活 成 百 上 千 次 代理 程序 的 运行 。 

1. DDoS 系统 的 一 般 结构 


如 图 1.48 所 示 ， 一 个 比较 完善 的 DDoS 攻击 体系 分 成 如 下 4 个 部 分 。 

(1) 攻击 者 : 整个 攻击 过 程 的 发 起 者 ， 其 所 用 主机 称 为 攻击 主 控 台 ， 可 以 是 网 络 上 任 
何 一 台 主机 ， 用 来 向 主 控 端 发 送 命令 。 

(2) 主 控 端 : 攻击 者 非法 侵入 并 控制 的 一 些 主机 ， 其 上 安装 了 特殊 程序 用 来 接收 攻击 
者 的 命令 ， 并 向 它们 控制 的 各 代理 端 发 出 这 些 命令 。 
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图 1.48 DDoS 攻击 的 原理 


(3) 代理 端 : 即 倪 介 机 ， 也 是 攻击 者 控制 的 一 些 主机 ， 其 上 运行 攻击 程序 。 
(4) 受害 者 。 


2. 组 织 一 次 DDoS 攻击 的 过 程 


这 里 用 “组 织 ” 这 个 词 ， 是 因为 DDoS 并 不 像 入 侵 一 台 主 机 那样 简单 。 一 般 来 说 ， 黑 
客 进行 DDoS 攻击 时 会 经 过 如 下 3 个 阶段 。 

1) 搜集 了 解 目标 的 情况 

下 列 情况 是 黑客 非常 关心 的 情报 。 

(1) 被 攻击 目标 主机 数目 、 地 址 情况 。 

(2) 目标 主机 的 配置 、 性 能 。 

(3) 目标 的 带宽 。 

对 于 DDoS 攻击 者 来 说 ， 攻 击 互联 网 上 的 某 个 站 点 ， 有 一 个 重点 就 是 确定 到 底 有 多 少 
台 主 机 在 支持 这 个 站 点 ， 一 个 大 的 网 站 可 能 有 很 多 台 主 机 利用 负载 均衡 技术 提供 同一 个 网 
站 的 WWW 服务 。 以 Yahoo! 为 例 ， 一 般 会 有 下 列 地 址 提供 WWW 服务 : 

66.218.71.87 

66.218.71.88 

66.218.71.89 

66.218.71.80 

66.218.71.81 

66.218.71.83 

66.218.71.84 

66.218.71.86 

对 一 个 网 站 实施 DDoS 攻击 ， 就 要 让 这 个 网 站 中 所 有 IP 地 址 的 机 器 都 瘫痪 。 因 此 事先 
搜集 情报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ， 这 关系 到 使 用 多 少 台 倪 候 机 才能 达到 效果 的 
问题 。 


90 。 


2) 占领 侈 仿 机 


黑客 最 感 兴趣 的 是 有 下 列 情况 的 主机 。 

(1) 链 路 状态 好 的 主机 。 

(2) 性 能 好 的 主机 。 

(3) 安全 管理 水 平 差 的 主机 。 

首先 ， 黑 客 做 的 工作 一 般 是 扫描 ， 随 机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 网 络 上 
那些 有 漏洞 的 主机 ， 像 程序 的 溢出 漏洞 、CGI、Unicode、FTP、 数 据 库 漏洞 等 ， 都 是 黑客 希 
望 看 到 的 扫描 结果 。 随 后 就 是 尝试 入 侵 了 。 

黑客 在 占领 了 一 台 倪 介 机 后 ， 除 了 要 进行 留 后 门 、 控 脚印 这 些 基本 工作 之 外 ， 还 要 把 
DDoS 攻击 用 的 程序 上 传 过 去 , 一 般 是 利用 FTP。 在 攻击 机 上 , 会 有 一 个 DDoS 的 发 包 程序 ， 
黑客 就 是 利用 它 来 向 受害 日 标 发 送 恶 意 攻 击 包 的 。 

3) 实际 攻击 

如 果 前 面 的 准备 做 得 好 ， 实 际 攻击 过 程 反 而 是 比较 简单 的 。 这 时 候 埋伏 在 攻击 机 中 的 
DDoS 攻击 程序 就 会 响应 主 控 台 的 命令 , 一 起 向 受害 主机 以 高 速度 发 送 大量 的 数据 包 ， 导 致 
它 死 机 或 无 法 响应 正常 的 请 求 。 黑 客 一 般 会 以 远 远 超出 受害 方 处 理 能 力 的 速度 进行 攻击 。 
高 明 的 攻击 者 还 要 一 边 攻 击 一 边 用 各 种 手段 来 监视 攻击 的 效果 ， 以 便 需 要 的 时 候 进行 一 些 
调整 。 较 为 简单 的 办 法 就 是 开 一 个 窗口 不 断 地 ping 目标 主机 ， 在 能 接 到 回应 的 时 候 就 再 加 
大 一 些 流量 或 者 命令 更 多 的 侈 偏 机 加 入 攻击 。 

3. DDoS 的 监测 

现在 网 上 DDoS 攻击 日 益 增 多 ， 只 有 及 时 检测 ， 及 早 发 现 自己 受到 攻击 ， 才 能 避免 遭 
受 惨重 的 损失 。 检 测 DDoS 攻击 的 主要 方法 有 以 下 几 种 。 

1) 根据 异常 情况 分 析 

异常 情况 包括 : 

(1) 网 络 的 通信 和 是 突然 急剧 增长 ， 超 过 平常 的 极限 值 时 ; 

(2) 网 站 的 某 一 特定 服务 总 是 失败 ; 

(3) 发 现 有 特大 型 的 ICP 和 UDP 数据 包 通过 ， 或 者 数据 包 内 容 可 疑 。 

2) 使 用 DDoS 检测 工具 

扫描 系统 漏洞 是 攻击 者 最 常 进 行 的 攻击 准备 。 目 前 市 面 上 的 一 些 网 络 入 侵 检测 系统 可 
以 杜绝 攻击 者 的 扫描 行为 。 另 外 ， 一 些 扫 描 器 工具 可 以 发 现 攻击 者 植 入 系统 的 代理 程序 ， 
并 可 以 把 它 从 系统 中 删除 。 


4. DDoS 实例 





























1) Smurf 与 Fraggle 


将 一 个 目的 地 址 设置 成 广播 地 址 (以太 网 地 址 为 FF:FF:FF:FF:FF:FF:FF) 后 ,将 会 被 网 
络 中 所 有 主机 接收 并 处 理 。 显 然 ， 如 果 攻 击 者 假冒 目标 主机 的 地 址 发 出 广播 信息 ， 则 所 有 
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主机 都 会 向 目标 主机 回复 一 个 应 答 使 目标 主机 淹没 在 大 量 信息 中 ， 无 法 提供 新 的 服务 。 
Smurf 和 Fraggle 攻击 就 是 利用 广播 地 址 的 这 一 特点 将 攻击 放大 而 实施 的 拒绝 服务 攻 
击 。 其 中 , Smurf 是 用 广播 地 址 发 送 ICMP ECHO 包 , 而 Fraggle 是 用 广播 地 址 发 送 UDP 包 。 

显然 ，Smurf 为 了 能 工作 ， 必 须要 找到 攻击 平台 ， 这 个 平台 就 是 其 路 由 器 上 启动 了 IP 
广播 功能 的 系统 ， 这 样 就 能 允许 Smurf 发 送 一 个 伪造 的 ping 信息 包 ， 然 后 将 它 传 播 到 整个 
计算 机 网 络 中 。 因 而 ， 为 防止 系统 成 为 Smurf 攻击 的 平台 ， 要 禁止 所 有 路 由 器 上 IP 的 广播 
功能 (一 般 来 讲 ，IP 广播 功能 并 不 需要 )。 但 是 ， 攻 击 者 若 从 LAN 内 部 发 动 一 个 Smurf 攻 
击 ， 在 这 种 情况 下 ， 禁 止 路 由 器 上 的 卫 广播 功能 就 没有 用 了 。 为 了 避免 这 样 一 个 攻击 ， 许 
多 操作 系统 都 提供 了 相应 设置 ， 防 止 计算 机 对 IP 广播 请 求 做 出 响应 。 

挫败 一 个 Smurf 攻击 的 最 简单 方法 对 边界 路 由 器 的 回音 应 答 (echo reply) 信息 包 进行 
过 滤 ， 然 后 丢弃 它们 ， 使 网 络 避免 被 淹没 。 

2) trinoo 

trinoo 是 复杂 的 DDoS 攻击 程序 , 它 使 用 了 主 控 程 序 对 实际 实施 攻击 的 任何 数量 的 代理 
程序 实现 自动 控制 。 图 1.49 形象 地 表明 了 其 攻击 原理 。 图 中 的 “ 倪 偶 机 ”就 是 一 些 代理 ， 
“控制 禽 仿 机 ”就 是 安装 有 主 控 程序 的 计算 机 。 











® 号 







攻击 便 偶 机 








控制 便 介 机 


图 1.49 trinoo DDoS 攻击 的 原理 


trinoo DDoS 攻击 的 基本 过 程 是 : 攻击 者 连接 到 安装 了 主 控 程 序 的 计算 机 ， 启 动 主 控 程 
序 ， 然 后 根据 一 个 IP 地 址 的 列表 ， 由 主 控 程序 负责 启动 所 有 的 代理 程序 。 接 着 ， 代 理 程 序 
用 UDP 信息 包 冲 击 网 络 ， 攻 击 目标 。 在 攻击 之 前 ， 侵 入 者 为 了 安装 软件 ， 已 经 控制 了 装 有 
主 控 程 序 的 计算 机 和 所 有 装 有 代理 程序 的 计算 机 。 

DDoS 就 是 利用 更 多 的 倪 偶 机 来 发 起 进攻 ， 以 更 大 的 规模 来 进攻 受害 者 的 。 

3) Tribe Flood Network 和 TFN2K 


Tribe Flood Network 与 trinoo 一 样 ,使 用 一 个 主 控 程 序 与 位 于 多 个 网 络 上 的 攻击 代理 进 
行 通信 。TFN 可 以 并 行 发 动 数 不 胜 数 的 DoS 攻击 ， 类 型 多 种 多 样 (如 UDP 攻击 、TCP SYN 
攻击 、ICMP 回音 请 求 攻击 以 及 ICMP 广播 )， 而 且 还 可 建立 带 有 伪装 源 卫 地 址 的 信息 包 。 
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TFN2K 是 TFN 的 一 个 更 高 级 的 版 本 ， 它 “修复 ”了 TFN 的 某 些 缺 点 。 
4) Stacheldraht 


Stacheldraht 也 是 基于 TFN 的 , 它 采用 和 trinoo 一 样 的 客户 /服务 器 模式 , 其 中 主 控 程序 
与 潜在 的 成 千 个 代理 程序 进行 通信 。 在 发 动 攻击 时 ， 侵 入 者 与 主 控 程 序 进行 连接 。 
Stacheldraht 增加 了 以 下 新 功能 :攻击 者 与 主 控 程 序 之 间 的 通信 是 加 密 的 ,并 使 用 rcp (remote 
copy， 远 程 复制 ) 技术 对 代理 程序 进行 更 新 。 


S. DDoS 攻击 的 防御 策略 


DDoS 攻击 仍然 是 我 国 互联 网 面临 的 严重 安全 威胁 之 一 。 其 隐蔽 性 极 强 ， 并 且 攻 击 的 方 
式 和 手段 不 断 发 生变 化 。 自 2014 年 起 ， 利 用 互联 网 传输 协议 的 缺陷 发 起 的 反射 型 DDoS 攻 
击 日 趋 频 繁 ， 增 加 了 攻击 防御 和 溯源 的 难度 。 几 乎 不 需要 技术 基础 即 可 使 用 的 DDoS 攻击 
服务 平台 在 互联 网 上 大 量 出 现 , DDoS 攻击 以 服务 形式 在 互联 网 上 公开 叫卖 ， 这 些 平 台 的 出 
现 极 大 地 降低 了 DDoS 攻击 技术 门槛 ， 使 攻击 者 可 以 轻易 发 起 大 流量 攻击 。2015 年 前 三 季 
度 ， 攻 击 流量 在 1Gbps 以 上 的 DDoS 攻击 次 数 近 38 万 次 ， 日 均 攻 击 次 数 达到 1491 次 。 所 
以 加 强 安全 防范 意识 、 提 高 网 络 系统 的 安全 性 还 是 当前 最 为 有 效 的 办 法 。 可 采取 的 安全 防 
御 措 施 有 以 下 几 种 。 

(1) 及 早 发 现 系统 存在 的 攻击 漏洞 ， 及 时 安装 系统 补丁 程序 。 对 一 些 重 要 的 信息 《〈 例 
如 系统 配置 信息 ) 建立 和 完善 备份 机 制 。 对 一 些 特权 账号 (例如 管理 员 账 号 ) 的 密码 设置 
要 谨慎 。 通 过 这 样 一 系列 的 举措 可 以 把 攻击 者 的 可 乘 之 机 降低 到 最 小 。 

(2) 在 网 络 管理 方面 ， 要 经 常 检查 系统 的 物理 环境 ， 禁 止 那 些 不 必要 的 网 络 服务 。 建 
立 边界 安全 界限 ， 确 保 输出 的 包 受 到 正确 限制 。 经 常 检 测 系统 配置 信息 ， 并 注意 查看 每 天 
的 安全 日 志 。 

(3) 利用 网 络 安全 设备 〈 如 防火 墙 ) 来 加 固 网 络 的 安全 性 ， 配 置 好 它们 的 安全 规则 ， 
过 滤 所 有 可 能 的 伪造 数据 包 。 

(4) 与 网 络 服务 提供 商 协调 工作 ， 请 其 帮助 实现 路 由 的 访问 控制 和 对 带宽 总 量 的 限制 。 

(5) 当 发 现 自己 正在 遭受 DDoS 攻击 时 ， 应 当 立 即 启动 应 急 策略 ， 尽 可 能 快 地 追踪 攻 
击 包 ,并且 要 及 时 联系 ISP 和 有 关 应 急 组 织 ， 分 析 受 影响 的 系统 ， 确 定 涉及 的 其 他 节点 ， 
从 而 阻挡 来 自己 知 攻击 节点 的 流量 。 

(6) 发 现 自己 的 计算 机 被 攻击 者 用 作 主 控 端 和 代理 端 时 ， 不 能 因为 自己 的 系统 暂时 没 
有 受到 损害 而 掉以轻心 ， 因 为 攻击 者 已 发 现 系 统 的 漏洞 ， 这 是 一 个 很 大 的 潜在 威胁 。 同 时 ， 
一 旦 发 现 系统 中 存在 DDoS 攻击 的 工具 软件 要 及 时 把 它 清除 ， 以 免 留 下 后 患 。 


实验 4 拒绝 服务 攻击 演示 
1. 实验 目的 
了 解 拒绝 服务 攻击 的 种 类 及 其 攻击 要 点 。 
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2. 实验 内 容 


(1) 总 结 当前 已 经 发 现 的 各 种 拒绝 服务 攻击 及 其 攻击 原理 〈 要 点 )。 
(2) 针对 一 种 可 能 造成 拒绝 攻击 的 系统 漏洞 ， 为 其 设计 一 个 测试 程序 。 


3. 实验 准备 


(1) 收集 当前 已 经 发 现 的 各 种 拒绝 服务 攻击 及 其 攻击 原理 (要 点 )。 

(2) 收集 拒绝 服务 攻击 工具 ， 分 析 其 攻击 的 机 理 和 利用 的 系统 漏洞 。 

(3) 根据 分 析 的 拒绝 服务 工具 所 利用 的 系统 漏洞 ， 为 其 设计 一 个 测试 程序 。 
(4) 写 出 用 自己 设计 的 程序 和 工具 进行 上 述 拒绝 服务 攻击 实验 的 环境 及 步骤 。 
(5) 制定 实验 应 急 预 案 。 


4. 实验 范例 


Linux 的 UNIX 域名 套 接 字 没有 考虑 /proc/sys/net/core/wmem_max 参数 的 限制 ， 本 地 普 
通用 户 可 以 通过 向 某 个 套 接 字 传送 大 量 数据 , 导致 Linux 内 核 分 配 内 存 空间 时 出 错 , 系统 停 
止 响应 。 此 时 必须 重新 启动 系统 。 

对 该 漏洞 ， 可 以 使 用 下 面 的 测试 程序 : 





5. 推荐 的 分 析 讨 论 内 容 
(1) 如 何 防止 和 发 现 拒绝 服务 攻击 ? 
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(2) 其 他 发 现 或 想到 的 问题 。 
1.6.3 ”僵尸 网 络 


僵尸 〈(zombie) 指 人 死 后 的 尸体 在 某 种 作用 下 重新 起 立行 走 ， 撕 咬 活 人 ;被 咬 者 遭受 
传染 ， 不 久 也 会 变 成 僵尸 。 伪 尸 网 络 〈botnet) 是 指 采用 一 种 或 多 种 传播 手段 ， 使 大 量 主机 
感染 bot 程序 〈 僵 尸 程序 )， 从 而 在 控制 者 和 被 感染 主机 之 间 形 成 一 个 可 一 对 多 控制 的 网 络 。 
攻击 者 通过 各 种 途径 传播 僵尸 程序 感染 互联 网 上 的 大 量 主机 ， 而 被 感染 的 主机 将 通过 一 个 
控制 信道 接收 攻击 者 的 指令 ， 组 成 一 个 僵尸 网 络 。 


1. 僵尸 网 络 的 基本 功能 


1) 作为 黑客 发 动 DDoS 攻击 的 工具 

僵尸 网 络 主 要 被 黑客 作为 发 起 DDoS 攻击 的 侈 偏 。 攻 击 的 目标 可 以 是 Internet 上 任何 
可 用 的 服务 器 ， 但 以 攻击 Web 服务 器 数量 为 最 多 ， 通 过 功能 滥用 的 攻击 ， 例 如 针对 电子 公 
告 栏 运行 能 耗 尽 资源 的 查询 或 者 在 受害 网 站 上 运行 递归 HTTP 洪水 攻击 。 递归 HTTP 洪 
水 指 的 是 僵尸 工具 从 一 个 给 定 的 HTTP 链接 开始 ， 以 递归 的 方式 顺 着 指定 网 站 上 所 有 的 链 
接 访问 ， 这 也 称 为 蜘蛛 爬行 。 

僵尸 网 络 也 可 用 于 攻击 互联 网 中 继 聊天 〈Intermnet Relay Chat，IRC) 网 络 ， 流 行 的 攻击 
方式 是 “克隆 攻击 ”。 在 这 种 攻击 中 ， 控 制 者 命令 每 个 僵尸 工具 连接 大 量 的 IRC 受害 终端 。 
被 攻击 的 IRC 服务 器 被 来 自 数 千 个 僵尸 工具 或 者 数 千 个 频道 的 请 求 所 淹没 。 通 过 这 种 方式 ， 
受到 攻击 的 豚 C 网 络 可 被 类 似 于 DDoS 攻击 击 垮 。 

2) 发 送 垃圾 邮件 

有 些 僵 尸 工具 会 在 一 台 已 感染 的 主机 上 打开 Socks 代理 ,然后 让 这 台 主 机 执行 很 多 恶毒 
任务 ， 例 如 发 送 垃圾 邮件 等 。 若 一 个 僵尸 网 络 中 有 上 千 个 僵尸 工具 ， 攻 击 者 就 可 以 发 送 大 
量 垃圾 邮件 。 有 些 僵尸 工具 也 执行 特殊 的 功能 ， 如 收集 电子 邮件 地 址 、 发 送 钓鱼 (phishing) 
邮件 等 。 

3) 信息 窃取 

僵尸 工具 也 可 用 数据 包 监 听 器 来 观察 通过 一 台 已 被 攻陷 主机 上 的 明文 数据 ， 从 中 提取 
敏感 数据 ， 例 如 用 户 名 、 密 码 以 及 其 他 一 些 令 人 感 兴趣 的 数据 。 

如 果 被 攻陷 主机 使 用 加 密 的 通信 通道 ， 也 可 以 安装 键盘 记录 器 来 获取 敏感 信息 。 

如 果 一 台 主 机 不 止 一 次 被 攻陷 并 属于 多 个 僵尸 网 络 ， 包 监听 就 有 可 能 偷窃 、 收 集 另 一 
个 僵尸 网 络 的 关键 信息 。 

4) 扩散 、 升 级 或 下 载 恶意 软件 

由 于 所 有 的 僵尸 工具 都 可 以 通过 HTTP 或 者 FTP 下 载 并 执行 ， 因 此 非常 容易 被 用 于 扩 
散 新 的 僵尸 工具 或 电子 邮件 病毒 。 一 个 拥有 一 万 台 用 于 扩散 电子 邮件 病毒 的 基础 主机 的 僵 
尸 网 络 可 使 扩散 非常 快 并 且 造成 极 大 的 危害 。 
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5) 伪造 点 击 量 ， 骗 取 奖 金 ， 操 控 网 上 投票 和 游戏 ， 被 网 络 推手 作为 绑架 与 论 的 工具 

僵尸 网 络 也 可 被 用 于 获取 金钱 。 这 可 以 通过 在 主机 上 安装 一 个 有 广告 的 虚假 网 站 ， 网 
站 的 操作 员 和 一 些 主机 公司 协商 给 点 击 广告 付费 。 在 僵尸 网 络 的 帮助 下 ， 点 击 可 以 自动 化 ， 
让 数 千 僵 尸 工具 点 击 弹 出 广告 。 如 果 僵 尸 工具 劫持 了 攻陷 主机 的 起 始 页 面 ， 当 受害 者 使 用 
浏览 器 的 时 候 点 击 就 被 执行 。 例 如 滥用 Google 的 AdSense 程序 就 是 一 个 很 典型 的 骗取 奖金 
的 实例 。 攻 击 者 可 以 滥用 AdSense 程序 ， 通 过 让 僵尸 网 络 以 自动 化 的 方式 点 击 Google 中 的 
某 些 广告 和 人 工 提高 点 击 数 。 

在 线 投票 和 游戏 越 来 越 引起 人 们 的 注意 ， 用 僵尸 网 络 来 操控 它们 比较 简单 。 由 于 每 个 
僵尸 工具 有 不 同 的 IP 地 址 ， 每 一 票 与 真人 投 的 票 有 着 相同 的 可 信 性 。 

网 络 推手 也 可 以 利用 僵尸 网 络 的 优势 ， 小 发 留言 ， 绑 架 社会 与 论 。 

6) 下 载 文件 

僵尸 工具 按照 黑客 的 指示 ， 从 指定 主机 中 下 载 各 种 文件 。 

7) 启动 或 终止 进程 

僵尸 工具 按照 黑客 的 指示 ， 启 动 或 终止 指定 进程 。 

2. 僵尸 程序 及 其 传播 


第 一 个 僵尸 程序 是 1993 年 被 开发 出 来 的 EggDrop.bot， 用 于 管理 员 不 在 时 保护 聊天 频 
道 。1999 年 11 月 被 木马 SubSeven 2.1 利用 ， 成 功 地 运用 IRC 协议 控制 感染 了 SubSeven 的 
计算 机 。 僵 尸 网 络 就 是 以 此 为 开端 ， 随 着 在 木马 中 大 量 应 用 而 形成 的 ， 并 把 其 中 被 感染 了 
僵尸 的 计算 机 称 为 zombie。 

僵尸 程序 本 身 并 不 具 传 播 性 ， 而 要 像 木 马 一 样 被 植 入 。 一 般 说 来 ， 僵 尸 程序 可 以 借助 
如 下 儿 种 方式 传播 。 

1) 利用 系统 漏洞 

利用 系统 漏洞 是 一 种 主动 传播 方式 。 采 用 这 种 方式 传播 时 ， 首 先 要 用 某 种 扫描 工具 对 
一 定 范围 内 的 计算 机 进行 漏洞 扫描 ,然后 获得 访问 权 ， 并 在 Shellcode 执行 僵尸 程序 注入 代 
码 。 这 些 漏洞 多 数 都 是 缓存 区 溢出 漏洞 。 下 面 以 Slapper 为 例 ， 简 单 描述 这 种 基于 P2P 协议 
的 僵尸 程序 的 传播 过 程 。 

(1) 感染 Slapper 的 主机 ， 用 非法 的 GET 请 求 包 扫 描 相 邻 网 段 的 主机 ， 希 望 获得 主机 
的 指纹 (操作 系统 版 本 、Web 服务 器 版 本 )。 

(2) 一 旦 发 现 有 Apache SSL 缓存 溢出 漏洞 的 主机 ， 就 开始 发 动 攻 击 。 攻 击 者 首先 在 建 
立 SSLv2 连接 时 ， 故 意 设置 一 个 过 大 的 参数 ， 代 码 没 有 对 参数 做 边界 检查 ， 并 复制 该 参数 
到 一 个 堆 定位 的 SSL_SESSION 数据 结构 中 的 固定 长 度 缓冲 区 ， 造 成 缓冲 区 溢出 。 手 工 制 
作 的 字段 是 缓存 溢出 的 关键 。 漏 洞 探测 者 小 心 翼 翼 地 覆盖 这 些 数 据 域 ， 不 会 严重 影响 SSL 
握手 。 

2) 利用 邮件 、 即 时 消息 通信 携带 

这 与 传播 木马 、 蠕 虫 的 方法 相同 。 例 如 ，2005 年 “性 感 鸡 ”(Worm.MSNLoveme) 爆 
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发 就 是 通过 MSN 消息 传播 的 。 

3) 伪装 软件 

很 多 僵尸 程序 被 夹杂 在 P2P 共享 文件 、 局 域 网 内 共享 文件 、 免 费 软件 、 共 享 软件 和 恶 
意 网 站 脚本 中 ， 通 过 伪装 ， 引 诱 用 户 下 载 、 打 开 或 点 击 ， 进 行 僵尸 程序 传播 。 

4) 利用 蠕虫 携带 

将 僵尸 程序 隐藏 在 蠕虫 代码 中 进行 传播 。 

3. 僵尸 程序 与 黑客 之 间 的 通信 


僵尸 程序 与 黑客 之 间 的 通信 通常 采用 两 种 方法 。 

(1) 利用 已 有 的 通信 协议 ， 例 如 IRC 协议 、P2P 协议 、AOL (American Online， 美 国 
在 线 ) 等 ， 直 接 加 以 利用 或 简单 改造 。 

(2) 定制 一 个 私有 协议 ， 利 用 公共 端口 进行 掩护 ， 例 如 利用 最 常用 的 80 端口 传递 私有 
协议 。 

4. 僵尸 网 络 的 形成 


bot 是 英文 单词 robot (机 器 人 ) 的 缩写 ， 指 这 类 程序 可 以 自动 执行 预定 义 的 功能 ， 甚 至 
有 一 定 的 智能 交互 能 力 ， 可 以 在 特定 情况 下 完成 操纵 者 赋予 的 特定 任务 。 

僵尸 程序 一 旦 被 植 入 ， 就 会 自动 执行 ， 主 动 连接 到 黑客 在 僵尸 代码 中 指定 的 计算 机 。 
这 台 计 算 机 可 以 是 黑客 自己 的 计算 机 ， 也 可 以 是 黑客 作为 跳板 的 计算 机 一 一 这 样 黑 客 更 为 
安全 。 这 样 ， 僵 尸 程序 就 可 以 与 黑客 依靠 一 定 的 协议 进行 通信 了 。 如 图 1.50 所 示 ， 当 黑客 
用 此 方法 控制 了 多 台 计 算 机 时 ， 就 形成 了 一 个 僵尸 网 络 。 
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图 1.50 ”僵尸 网 络 的 形成 














5. 僵尸 网 络 的 加 入 
不 同类 型 的 僵尸 主机 ,加 入 僵尸 网 络 的 方式 也 不 同 ， 下 面 以 基于 IRC 协议 的 僵尸 为 例 ， 
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介绍 僵尸 主机 加 入 僵尸 网 络 的 过 程 。 

(1) 如 果 僵 尸 中 有 域名 ， 先 解析 域名 ， 通 常 采 用 动态 域名 。 

(2) 僵尸 主机 与 IRC 服务 器 建立 TCP 连接 。 为 增强 安全 性 ， 有 的 IRC 服务 器 设置 了 连 
接 密 码 。 连 接 密码 在 TCP 三 次 握手 后 ， 通 过 PASS 命令 发 送 。 

(3) 僵尸 主机 与 IRC 服务 器 发 送 NICK 和 USER 命令 ，NICK 通常 有 一 个 固定 的 前 绥 ， 
如 CHN!2345、[NU-15120、ph2-1234， 前 级 通常 为 国家 简称 、 操 作 系 统 版 本 等 。 

(4) 加 入 预定 义 的 频道 。 频 道 名 一 般 硬 编码 在 僵尸 程序 体内 ， 为 增强 安全 性 ， 有 的 控 
制 者 为 频道 设 定 了 密码 。 中 国 国家 互联 网 应 急 中 心 (CNCERT/CC) 的 监测 数据 表明 ， 规 模 
较 大 (控制 1 万 台 以 上 计算 机 ) 的 僵尸 网 络 通 常设 置 了 频道 密码 ， 但 设置 服务 器 连接 密码 
的 僵尸 网 络 还 是 少数 。 


6. 黑客 对 于 僵尸 主机 的 控制 


僵尸 网 络 的 主人 必须 保持 对 僵尸 主机 的 控制 ， 才 能 利用 它们 完成 预定 的 任务 目标 。 下 
面 依然 以 IRC 僵尸 为 例 ， 简 单 描述 一 下 控制 主机 对 僵尸 主机 的 控制 过 程 。 

(1) 攻击 者 或 者 僵尸 网 络 的 主人 建立 控制 主机 。 大 多 数控 制 主机 建立 在 公共 的 IRC 服 
务 上 ， 这 样 做 是 为 了 将 控制 频道 做 得 隐蔽 一 些 ， 也 有 少数 控制 主机 是 攻击 者 自己 单独 建 
并 的 。 

(2) 僵尸 主机 主动 连接 IRC 服务 器 ， 加 入 到 某 个 特定 频道 。 此 过 程 在 上 面 已 经 介绍 了 。 

(3) 控制 者 (黑客 ) 主机 也 连接 到 IRC 服务 器 的 这 个 频道 上 。 

(4) 控制 者 (黑客 ) 使 用 login、!logon、!auth 等 命令 认证 自己 ， 服 务 器 将 该 信息 转发 
给 频道 内 所 有 的 僵尸 主机 ， 僵 尸 程序 将 该 密码 与 硬 编码 在 文件 体内 的 密码 比较 ， 相 同 则 将 
该 用 户 的 nick 名 称 记 录 下 来 ， 以 后 可 以 执行 该 用 户 发 送 的 命令 。 控 制 者 具有 channel op 权 
限 ， 只 有 他 能 发 出 命令 。 


7. 主 控 者 向 僵尸 主机 发 布 命令 的 方法 


在 IRC 僵尸 网 络 中 ， 主 控 者 向 僵尸 主机 发 送 的 命令 按照 要 求 僵尸 程序 实现 的 功能 可 以 
分 为 以 下 几 类 。 

(1) 僵尸 网 络 控制 命令 。 

(2) 扩散 传播 命令 。 

(3) 信息 窃取 命令 。 

(4) 下 载 与 更 新 命令 。 

(5) 主机 控制 命令 。 可 细 分 为 发 动 DDoS 攻击 、 架 设 服务 、 发 送 垃圾 邮件 和 点 击 欺 诈 等 。 

基于 IRC 协议 ， 主 控 者 向 受 控 僵尸 程序 发 布 命令 的 方法 有 如 下 3 种 。 

(1) 设置 频道 主题 (Topic) 命令 。 当 僵尸 程序 登录 到 频道 后 ， 立 即 接收 并 执行 这 条 频 
道 主题 命令 。 

(2) 使 用 频道 或 单个 僵尸 程序 发 送 PRIVMSG 消息 。 这 种 方法 最 为 常用 ， 即 通过 IRC 
协议 的 群 获 和 私 聊 方式 向 频道 内 所 有 僵尸 程序 或 指定 僵尸 程序 发 布 命令 。 

(3) 通过 NOTICE 消息 发 送 命令 。 这 种 方法 在 效果 上 等 同 于 发 送 PRIVMSG 消息 ， 但 
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在 实际 情况 中 并 不 常见 。 
1.7 信息 系统 风险 与 安全 策略 


1.7.1 风险 = 脆弱 性 + 威胁 


系统 风险 是 指 系统 遭受 意外 损失 的 可 能 性 ， 它 主要 来 自 系统 可 能 遭受 的 各 种 威胁 、 系 
统 本 身 的 脆弱 性 以 及 系统 对 于 威胁 的 失策 。 


1. 信息 系统 脆弱 性 的 表现 


信息 系统 的 脆弱 性 表现 为 安全 漏洞 〈 也 称 为 bug)。 如 前 所 述 ， 计 算 机 的 安全 漏洞 是 全 
方位 的 ， 也 是 动态 的 。 下 面 介绍 儿 个 主要 的 方面 。 

1) 芯片 的 脆弱 性 

安全 漏洞 不 仅 存在 于 软件 之 中 ， 还 存在 于 硬件 之 中 ， 特 别 是 芯片 中 也 可 能 存在 漏洞 。 
1997 年 ， 法 新 社 在 一 篇 报道 中 就 引用 了 Intel 公司 发 言 人 汤姆 。 沃 尔 德 的 一 段 话 :“ 我 们 已 
经 确认 奔腾 和 具有 多 媒体 扩展 MMX) 技术 的 奔腾 处 理 器 芯片 存在 一 处 新 的 缺陷 。” 这 个 
缺陷 导致 当 操作 者 取得 特权 发 出 一 个 特殊 指令 时 系统 死机 。 

2) 操作 系统 安全 漏洞 

操作 系统 是 对 计算 机 系统 的 软 硬 件 资源 进行 管理 、 控 制 的 大 型 综合 软件 ， 是 计算 机 系 
统 运行 的 基础 ， 操 作 系 统 的 不 安全 是 计算 机 系统 不 安全 的 重要 原因 。 根 据 国际 权威 组 织 
SANS 和 FBI 于 2003 年 公布 的 安全 漏洞 报告 ， 在 Internet 的 安全 漏洞 中 ， 排 在 前 20 名 的 几 
乎 都 是 操作 系统 的 漏洞 。 

从 理论 上 说 ， 任 何 实际 运行 的 操作 系统 都 会 有 各 自 的 漏洞 。 下 面 列举 操作 系统 的 脆弱 
性 的 一 些 共 性 。 

(1) 后 门 式 漏洞 。 后 门 ， 或 称 陷 门 (trap doors)， 是 一 种 操作 系统 的 无 口令 入 口 ， 由 一 
段 程 序 实 现 ， 通 常 是 系统 开发 者 为 调试 、 测 试 、 维 修 而 设置 的 简便 入 口 。 例 如 ， 在 特定 的 
时 间 按 下 特定 的 键 或 提供 特定 的 参数 ， 就 会 对 预定 的 事件 或 事件 序列 产生 非 授权 的 影响 。 
发 现 后 门 是 非常 困难 的 。 因 此 ， 攻 击 者 也 常 挖空心思 地 设计 后 门 ， 形 成 隐蔽 的 信道 监视 系 
统 运 行 或 伺机 对 系统 发 起 攻击 。 例 如 ， 操 作 系统 提供 的 调试 器 (debug)、 向 导 〈wizard) 以 
及 daemon 软件 ， 都 有 可 能 被 攻击 者 利用 进入 系统 。 

(2) 补丁 式 漏洞 。 操 作 系 统 支持 动态 连接 。 因 此 ， 操 作 系统 才 可 以 动态 地 安装 IO 驱动 
程序 和 其 他 系统 服务 ， 也 才能 通过 打 补丁 的 方式 修补 安全 漏洞 。 当 然 ， 这 也 就 为 攻击 者 提 
供 了 用 打 补 丁 的 方式 来 破坏 系统 的 便利 。 

(3) 远程 创建 进程 式 漏洞 。 操 作 系统 允 许 远程 进程 的 创建 和 激活 。 由 于 被 创建 的 进程 
可 以 继承 创建 进程 的 权力 ， 就 为 攻击 者 在 远程 安装 攻击 软件 提供 了 可 能 。 例 如 ， 攻 击 者 可 
以 在 远程 把 补丁 打 在 一 个 特权 用 户 上 ， 使 用 这 种 特权 对 系统 进行 攻击 。 
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3) 数据 库 的 安全 脆弱 性 

当前 ， 设 计数 据 库 系统 时 主要 考虑 的 内 容 是 数据 的 共享 性 、 一 致 性 、 完 整 性 和 访问 的 
可 控制 性 ， 对 于 安全 的 考虑 较 少 。 这 使 数据 库 系统 表现 得 比较 脆弱 。 例 如 : 

(1) 数据 库 中 存放 着 大 量 数据 。 这 些 数据 中 重要 性 、 机 密 性 各 不 相同 ， 而 它们 却 要 被 
不 同 职责 和 权力 的 用 户 共享 ， 这 是 十 分 不 安全 的 。 

(2) 数据 库 数据 的 共享 性 可 能 导致 一 个 用 户 对 数据 的 修改 影响 了 其 他 用 户 的 正常 使 用 。 

(3) 数据 库 一 般 不 保存 历史 数据 ， 一 个 数据 被 修改 ， 旧 值 就 被 破坏 。 

(4) 联机 数据 库 可 以 被 多 用 户 共享 ， 可 能 会 造成 多 个 用 户 操作 而 破坏 数据 的 完整 性 。 

4) 计算 机 网 络 的 安全 脆弱 性 

计算 机 网 络 是 通信 技术 与 计算 机 技术 相 结 合 的 产物 ， 它 的 脆弱 性 主要 表现 在 如 下 几 个 
方面 。 

(1) 传输 中 的 脆弱 性 。 例 如 电磁 辐射 、 串 音 干扰 等 。 

(2) 网 络 体系 结构 的 开放 性 带 来 的 脆弱 性 。 一 个 计算 机 网 络 要 连接 多 个 用 户 ， 这 本 
身 就 是 一 个 不 安全 因素 。 特 别 是 对 于 目前 已 经 普遍 使 用 的 TCP/IP 来 说 ， 由 于 当初 主要 
考虑 的 是 网 络 互 联 和 传输 效率 的 问题 ， 没 有 很 好 地 解决 安全 问题 ， 所 以 安全 的 薄弱 环节 
较 多 。 

(3) 网 络 服务 的 安全 脆弱 性 。 例 如 Web 服务 、FTP 服务 、 电 子 邮 件 服务 、DNS 服务 、 
路 由 服务 和 Telnet 服务 等 ， 都 分 别 存在 自己 的 漏洞 或 安全 问题 。 

2. 信息 系统 威胁 手段 

对 于 信息 系统 的 威胁 有 许多 方法 或 手段 。 下 面 介绍 儿 种 主要 的 威胁 方法 。 

1) 信息 窃取 

信息 窃取 的 主要 途径 有 以 下 几 个 。 

(1) 在 传输 中 被 利用 电磁 辐射 或 搭 接线 路 的 方式 窃取 。 

(2) 授权 者 向 未 授权 者 泄露 。 例 如 ， 一 个 公司 职员 在 用 文件 名 传输 公司 秘密 文件 的 同 
时 对 文件 名 编码 ， 使 公司 的 正常 秘密 文件 传输 信道 被 乱用 为 隐蔽 的 泄密 信道 。 

(3) 存储 设备 被 盗窃 或 盗用 。 

(4) 未 授权 者 利用 特定 的 工具 捕获 网 络 中 的 数据 流量 、 流 向 、 通 行 频带 和 数据 长 度 等 
数据 并 进行 分 析 ， 从 中 获取 敏感 信息 。 

2) 扫描 (scan) 

扫描 是 利用 特定 的 软件 工具 向 目标 发 送 特制 的 数据 包 ， 对 响应 进行 分 析 ， 以 了 解 目 标 
网 络 或 主机 的 特征 。 

3) 入 侵 (intrusion ) 

入 侵 即 非 授 权 访 问 ， 是 指 没 有 经 过 授权 (同意) 就 获得 系统 的 访问 权限 或 特权 ， 对 系 
统 进行 非 正常 访问 ， 或 擅自 扩大 访问 权限 越权 访问 系统 信息 。 主 要 的 非 授权 访问 形式 有 以 
下 几 种 。 
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(1) 旁 路 控制 。 攻 击 者 利用 系统 漏洞 绕 过 系统 的 访问 控制 而 渗入 系统 内 部 。 

(2) 假冒 。 某 个 未 经 授权 的 实体 通过 出 示 伪 造 的 凭证 骗取 某 个 系统 的 信任 ， 非 法 取得 
系统 访问 权 或 得 到 额外 的 特权 。 

(3) 口令 破解 。 利 用 专门 的 工具 穷 举 或 猜测 用 户口 令 。 

(4) 合法 用 户 的 非 授 权 访问 。 合 法 用 户 进入 系统 后 擅自 扩大 访问 权限 或 越权 访问 。 

4) 拒绝 服务 (DoS) 


DoS 指 系统 可 用 性 因 服务 中 断 而 遭 到 破坏 。DoS 攻击 常常 通过 用 户 进程 消耗 过 多 的 系 
统 资源 造成 系统 阻塞 或 瘫痪 。 

5) 抵赖 (否认) 

通信 一 方 由 于 某 种 原因 而 实施 的 下 列 行为 都 称 为 抵赖 。 

(1) 发 方 事后 否认 自己 曾经 发 送 过 某 些 消息 。 

(2) 收 方 事后 否认 自己 曾经 收 到 过 某 些 消息 。 

(3) 发 方 事后 否认 自己 曾经 发 送 过 某 些 消息 的 内 容 。 

(4) 收 方 事后 否认 自己 曾经 收 到 过 某 些 消息 的 内 容 。 

6) 滥用 (misuse) 

滥用 泛 指 一 切 对 信息 系统 产生 不 良 影响 的 活动 。 滥 用 主要 有 以 下 儿 种 。 

(1) 传播 恶意 代码 。 恶意 代码 是 一 些 对 于 系统 有 副作用 的 代码 。 它 们 或 者 独立 存在 (如 
蠕虫 ) 或 者 依附 于 其 他 程序 (如 病毒 、 特 洛 伊 木马 、 逻 辑 炸弹 等 )， 通 过 大 量 复制 消耗 系统 
资源 ， 或 进行 删除 、 修 改 等 破坏 性 操作 ， 或 执行 窃取 敏感 数据 的 任务 。 

(2) 复制 / 重 放 。 攻 击 者 为 了 达到 混淆 视听 、 扰 乱 系统 的 目的 ， 常 常 先 记 录 系 统 中 的 合 
法 信息 ， 然 后 在 适当 的 时 候 复制 重 放 ， 使 系统 难 辩 真 伪 。 例 如 ，C 实体 截获 了 B 实体 发 往 
A 实体 的 订单 ， 然 后 重复 地 向 A 发 送 复制 的 订单 ， 使 得 A 的 工作 出 现 混乱 。 

(3) 发 布 或 传播 不 良 信息 。 例 如 发 布 垃圾 邮件 ， 传 播 包括 色情 、 暴 力 、 毒 品 、 那 教 和 
赌博 等 内 容 的 信息 。 

3. 信息 系统 风险 损失 

1) 信息 资源 损失 

(1) 机 密 性 〈confidentiality ) 损失 。 数 据 在 传输 或 存储 时 有 被 非法 截取 的 可 能 ， 就 会 形 
成 机 密 性 威胁 。 例 如 被 监听 、 被 分 析 等 。 提 高 信息 机 密 性 的 方法 有 数据 加 密 、 进 行 访问 控 
制 以 及 对 访问 者 进行 身份 验证 等 ， 以 保证 数据 不 被 非 授权 者 知晓 。 

(2) 完整 性 〈integrity) 损失 。 完 整 性 损失 是 指数 据 在 传输 或 存储 过 程 中 被 算 改 、 被 丢 
失 、 被 破坏 的 可 能 。 为 了 保护 数据 完整 性 ， 可 以 进行 数据 的 完整 性 校 验 以 及 认证 等 ， 可 以 
发 现 数据 是 否 被 算 改 ， 进 而 可 以 进行 数据 的 恢复 。 

(3) 可 用 性 〈availability) 损失 。 可 用 性 损失 是 指 保障 合法 用 户 正常 使 用 信息 的 能 力 受 
到 的 威胁 。 例 如 ， 拒 绝 访问 攻击 导致 了 合法 用 户 正常 访问 信息 资源 的 能 力 丧 失 。 

(4) 真实 性 Cauthenticity) 损失 。 真 实 性 损失 主要 是 指 接收 方 所 具有 的 辨认 假冒 和 抗拒 
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否认 的 能 力 受到 威胁 。 

信息 资源 损失 可 以 进一步 归结 为 如 下 3 类 。 

(1) 信息 破坏 。 非 法 取得 信息 的 使 用 权 ， 删 除 、 修 改 、 插 入 、 亚 意 添加 或 重 发 某 些 数 
据 ， 以 影响 正常 用 户 对 信息 的 正常 使 用 。 

(2) 信息 泄密 。 故 意 或 偶然 地 非法 侦 听 、 截 获 、 分 析 某 些 信息 系统 中 的 信息 ， 造 成 系 
统 数据 泄密 。 

(3) 假冒 或 否认 。 假 冒 某 一 可 信任 方 进行 通信 或 者 对 发 送 的 数据 事后 予以 否认 。 

2) 系统 损失 

(1) 系统 被 非法 访问 。 

(2) 造成 通信 线路 、 计 算 机 网 络 以 及 主机 、 光 盘 、 磁 盘 等 系统 实体 运行 不 正常 或 瘫痪 ， 
丧失 可 用 性 。 


4. 信息 系统 风险 等 级 
风险 与 系统 本 身 的 脆弱 性 漏洞 的 高 低 和 外 部 威胁 的 高 低 有 关 。 也 就 是 说 ， 风 险 是 
威胁 和 漏洞 的 综合 结果 。 图 1.51 表明 了 这 种 关系 : 风 高 
险 = 威胁 + 脆弱 性 ， 即 没有 威胁 ， 就 不 会 有 风险 ;同样 ， 
没有 脆弱 性 ， 也 不 会 有 风险 。 

















对 威胁 和 脆弱 性 进行 综合 , 可 以 将 风险 分 为 低 、 中 、 侠 中 中 等 风险 
高 3 个 级 别 。 
(1) 低 风 险 。 当 系统 具有 较 低 的 脆弱 性 或 者 面临 较 
低 的 威胁 时 ， 其 安全 将 处 于 低 风 险 级 别 。 低 
(2) 中 等 风险 。 当 系统 具有 中 等 的 脆弱 性 或 者 面临 低 中 高 


中 等 的 威胁 时 ， 其 安全 将 处 于 中 等 风险 级 别 。 和 


(3) 高 风险 。 当 系统 具有 较 高 的 脆弱 性 并 且 面临 较 。 图 151 风险 与 脆弱 性 -威胁 的 关系 
高 的 威胁 时 ， 其 安全 将 处 于 高 风险 级 别 。 
1.7.2 ”信息 系统 安全 策略 

安全 策略 是 控制 和 管理 主体 对 客体 访问 时 ， 为 安全 目的 而 制定 的 一 组 规则 和 目标 约束 
以 及 为 达到 安全 目的 采取 的 步骤 。 安全 策略 可 以 反映 一 个 组 织 或 一 个 系统 的 安全 需求 。 信 
息 安全 策略 的 制定 应 以 信息 系统 为 对 象 ， 根 据 风险 分 析 确立 安全 方针 ， 并 依照 这 个 方针 来 
制定 相应 的 策略 。 下 面 是 中 国信 息 安 全 产品 评测 认证 中 心 提出 的 系统 一 般 采取 的 安全 策略 ， 
安全 管理 人 员 制定 系统 安全 策略 时 参考 。 在 具体 制定 系统 的 安全 策略 时 ， 可 以 根据 风险 
分 析 ， 从 中 选择 必要 的 内 容 ， 同 时 根据 需求 追加 一 部 分 内 容 。 

1. 基于 数据 资源 的 安全 保护 

1) 基于 数据 资源 的 安全 保护 目标 

(1) 机 密 性 保护 ， 就 是 保护 信息 《数据 ) 不 被 非法 泄露 或 不 泄露 给 那些 未 授权 掌握 这 
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一 信息 的 实体 。 

(2) 完整 性 保护 ， 就 是 保护 信息 (数据) 不 被 未 授权 的 算 改 ， 或 被 非法 算 改 后 有 被 恢 
复 的 能 

(3) 拒绝 否认 性 (no-repudiation) 保护 ， 也 称 为 不 可 抵赖 性 或 不 可 否认 性 保护 ， 即 通信 
双方 不 能 抵赖 或 否认 已 经 完成 的 操作 或 承诺 。 

2) 基于 数据 资源 的 安全 保护 策略 

(1) 数据 隐藏 ， 隐 蔽 数据 的 可 见 性 。 

(2) 数据 加 密 ， 隐 蔽 数据 的 可 读 性 ， 使 攻击 者 即使 获得 了 数据 也 难以 知道 其 真实 内 容 。 

(3) 数字 认证 。 有 具体 手段 包括 数字 签名 和 数据 公证 。 

(4) 数据 容错 、 数 据 容 灾 和 数据 备份 。 便 于 数据 资源 被 自 改 、 被 破坏 、 被 丢失 后 ， 能 
及 时 恢复 。 


2. 基于 系统 的 安全 保护 


1) 基于 系统 的 安全 保护 目标 


(1) 可 用 性 〈availability) 保护 ， 即 确保 授权 用 户 在 需要 时 可 以 正确 地 访问 系统 中 的 数 
据 。 为 此 要 保证 系统 能 够 正常 工作 ， 能 在 确定 的 条 件 下 、 规 定 的 时 间 内 完成 规定 的 功能 ， 
实现 规定 的 特性 ， 并 使 合法 用 户 对 于 数据 资源 的 使 用 不 会 被 拒绝 。 

(2) 可 控 性 〈controllability) 保护 ， 即 系统 对 于 信息 内 容 和 传输 具有 控制 能 力 。 

(3) 有 效 性 (availability) 保护 ， 即 提供 面向 用 户 的 服务 。 简 单 地 说 ， 就 是 合法 者 可 用 ， 
非法 者 拒绝 。 

2) 基于 系统 的 安全 保护 

(1) 恶意 程序 的 预防 、 检 测 和 清除 

(2) 入 侵 检测 (IDS)， 当 出 现 不 正当 访问 时 ， 应 设置 能 够 将 其 查 出 并 通知 风险 管理 者 
的 检测 功能 。 

(3) 灾害 预防 与 应 急 处 理 ， 具 有 应 对 各 种 灾害 的 策略 和 应 急 处 理 方案 。 

(4) 防火 墙 。 

(5) 授权 ， 包 括 口令 、 访 问 控制 、 数 字 证 书 和 身份 认证 。 

(6) 日 志 。 

(7) 漏洞 扫描 与 渗透 测试 。 

(8) 安全 审计 。 
1.7.3 ”信息 系统 安全 防御 原则 


信息 系统 的 安全 是 防御 式 安全 。 因 此 在 系统 的 规划 、 设 计 、 实 现 、 集 成 、 安 装 和 调试 
等 所 有 过 程 中 ， 都 应 同步 考虑 安全 策略 和 功能 具备 的 程度 ， 坚 持 预 防 为 主 ， 不 要 抱 有 侥幸 
心理 ， 放 掉 任 何 一 个 已 经 发 现 的 漏洞 和 可 能 的 安全 威胁 。 

不 同 的 组 织 在 不 同 的 背景 下 ， 基 于 不 同 的 利益 考虑 ， 往 往 会 制定 出 一 些 信息 系统 安全 
的 防御 原则 。 下 面 介绍 目前 已 经 取得 共识 的 信息 系统 安全 防御 原则 。 
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1. 木 桶 原则 


木 桶 原则 也 称 为 均衡 防护 原则 。 它 是 基于 “ 木 桶 的 容积 由 其 最 短 的 一 块 木板 决定 ”的 
原则 ， 考 虑 到 即使 绝 大 部 分 的 环节 上 防御 能 力 极 强 ， 只 要 有 一 处 很 弱 ， 系 统 总 体 的 防御 力 
也 是 弱 的 。 因 此 ， 要 对 于 最 常见 的 攻击 手段 采取 均衡 防护 。 


2. 成 本 效率 原则 


任何 系统 都 不 是 100% 安 全 的 ， 因 为 100% 安 全 要 求 的 成 本 可 能 是 无 限 的 。 因 此 ， 成 本 
效率 原则 要 求 针对 系统 的 重要 性 ， 设 定 相 应 的 安全 需求 级 别 ， 采 取 相应 的 安全 措施 。 


3. 可 扩展 性 原则 


考虑 信息 系统 的 发 展 、 规 模 的 变化 以 及 新 的 风险 的 出 现 ， 要 求 安全 体系 具有 可 扩展 性 
和 延续 性 。 


4. 分 权 制衡 原则 
害 部 位 的 管理 权限 不 应 当 交 给 一 个 人 管理 ， 要 将 权利 分 割 给 几 个 人 ， 互 相 制 约 。 
5. 最 小 特权 原则 
对 于 某 个 人 只 有 需要 时 才 可 以 授予 某 种 特权 ， 但 同时 要 限制 其 他 的 系统 特权 。 
6. 失效 保护 原则 


系统 应 当 是 可 控 的 。 一 旦 系统 控制 失灵 ， 要 有 紧急 响应 预案 ， 阻 止 风 险 草 延 和 系统 亚 
化 。 例 如 ， 一 旦 系统 发 生 故 障 ， 必 须 拒 绝 入 侵 者 的 访问 ; 包 过 滤 路 由 器 发 生 故 障 ， 将 不 多 
许 任何 数据 包 流 通 ， 某 代理 服务 器 出 现 故 障 ， 就 再 不 提供 服务 等 。 


7. 公开 揭露 原则 


任何 系统 遭受 某 种 入 侵 ， 都 是 由 于 系统 存在 相应 的 漏洞 。 对 于 发 现 的 漏洞 ， 有 人 认为 
应 当 了 予以 保密 ， 以 防 更 多 的 入 侵 。 但 是 ， 现 在 普遍 的 观点 是 应 当 公 开 漏 洞 ， 一 是 可 以 引起 
广泛 的 注意 和 防护 ， 二 是 可 以 发 动 更 多 的 人 或 组 织 提供 补救 措施 ， 三 是 可 以 给 入 侵 者 以 
威慑 。 

8. 立足 国内 原则 

安全 技术 和 设备 首先 要 立足 国内 ， 未 经 批准 不 得 消化 、 改 造 或 直接 应 用 国外 技术 和 
设备 。 

9. 可 评估 原则 

安全 系统 的 规划 、 设 计 、 实 施 和 运行 都 要 有 章 可 循 ， 同 时 要 考虑 用 户 对 于 安全 的 需求 
和 具体 环境 ， 使 安全 系统 成 为 可 以 论证 、 可 以 评估 的 系统 。 
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习 是 
一 、 选 择 题 


1. 下 列 关 于 计算 机 病毒 的 叙述 中 ， 是 错误 的 。 
A. 计算 机 病毒 会 造成 对 计算 机 文件 和 数据 的 破坏 
B. 只 要 删除 感染 了 病毒 的 文件 就 可 以 彻底 消除 病毒 
C. 计算 机 病毒 是 一 段 人 为 制造 的 小 程序 
D. 计算 机 病毒 是 可 以 预防 和 消除 的 
2. 计算 机 病毒 是 指 “ 能 够 侵入 计算 机 系统 并 在 计算 机 系统 中 ， 破 坏 系统 正常 工作 的 一 种 具有 繁殖 能 
力 的 es 
A. 一 种 被 破坏 了 的 程序 
B. 具有 破坏 性 ， 并 可 以 在 计算 机 中 潜伏 、 传 播 的 特殊 小 程序 
C. 特殊 微生物 
D. 源 程序 
. 下 列 关 于 计算 机 病毒 的 说 法 中 ， 正 确 的 一 条 是 
A. 计算 机 病毒 是 一 种 有 损 计 算 机 操作 人 员 身体 健康 的 生物 病毒 
B. 当 U 盘 或 光盘 不 清洁 时 ， 将 会 传播 计算 机 病毒 
C. 计算 机 病毒 是 一 种 通过 自我 复制 进行 传染 的 ， 破 坏 计算 机 程序 和 数据 的 小 程序 
D. 计算 机 病毒 是 一 种 有 逻辑 错误 的 程序 
4. 防止 U 盘 感染 病毒 的 有 效 方法 是 上 
A. 不 要 把 无 毒 U 盘 与 有 毒 U 盘 放 在 一 起 
B. 使 U 盘 写 保护 
C. 保持 机 房 清 洁 
D. 定期 用 酒精 对 U 盘 进行 消毒 
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5. 计算 机 宏 病 毒 主要 感染 文件 。 

A. .EXE B. .COM CTXT D..DOC 
6. 计算 机 病毒 最 重要 的 特点 是 8 

A. 可 执行 B. 可 传染 C. 可 保存 D. 可 打印 


站 


. 为 了 预防 计算 机 病毒 ， 应 采取 的 正确 措施 是 & 
A. 每 天 都 对 计算 机 硬盘 和 软件 进行 格式 化 B. 不 用 盗版 软件 和 来 历 不 明 的 软盘 


C. 不 同 任何 人 交流 D. 不 玩 任何 计算 机 游戏 
8. 下 列 描述 中 ， 不 属于 引导 肩 区 病毒 的 是 
A. 用 自己 的 代码 代替 MBR 中 的 代码 B. 会 在 操作 系统 之 前 加 载 到 内 存 中 
C. 将 自己 复制 到 计算 机 的 每 个 磁盘 D. 格式 化 硬盘 
9. 特洛伊 木马 
A. 表面 上 看 起 来 无 害 ， 但 隐藏 着 罪恶 B. 不 是 有 意 破坏 ， 仅 仅 制造 恶作剧 
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C. 经 常 将 自己 复制 ， 附 着 在 宿主 文件 中 D. 传播 和 运行 都 不 需要 客户 参与 














10. 蠕虫 
A. 不 进行 自我 复制 B. 不 向 其 他 计算 机 传播 
C. 不 需要 宿主 文件 D. 不 携带 有 效 负载 
11. 后 门 
A. 是 为 计算 机 系统 开启 秘密 访问 入 口 的 程序 。” B. 会 大 量 占用 计算 机 资源 ， 造 成 计算 机 瘫痪 
C. 用 于 对 互联 网 中 的 目标 主机 发 起 攻击 D. 用 于 寻找 电子 邮件 地 址 ， 发 送 垃圾 邮件 
12. 从 安全 属性 对 各 种 网 络 攻击 进行 分 类 ， 截 获 攻 击 是 针对 的 攻击 。 
A. 机 密 性 B. 可 用 性 C. 完整 性 D. 真实 性 
13. “会 话 侦 听 和 劫持 技术 ”是 属于 的 技术 。 
A. 密码 分 析 还 原 B. 协议 漏洞 渗透 
C. 应 用 漏洞 分 析 与 渗透 D. DoS 攻 击 
14. 攻击 者 用 传输 数据 来 冲击 网 络 接口 ， 使 服务 器 过 于 繁忙 以 至 于 不 能 应 答 请 求 的 攻击 方式 
是 5 
A. 拒绝 服务 攻击 B. 地 址 欺骗 攻击 
C. 会 话 劫持 D. 信和 与 包 探测 程序 攻击 
15. 攻击 者 截获 并 记录 了 从 A 到 B 的 数据 然后 从 所 截获 的 数据 中 提取 出 信息 重新 发 往 B， 这 种 攻击 称 
为 
A. 中 间 人 攻击 B. 口令 猜测 器 和 字典 攻击 
C. 强力 攻击 D. 回放 攻击 
16. 拒绝 服务 攻击 的 后 果 是 5 
A. 信息 不 可 用 B. 应 用 程序 不 可 用 
C. 系统 死机 D. 阻止 通信 
E. 上 面 儿 项 都 是 
17. DDoS 攻击 破坏 了 信息 的 a 
A. 可 用 性 B. 保密 性 C. 完整 性 D. 真实 性 
18. 某 用 户 收 到 一 封 可 疑 的 电子 邮件 ， 要 求 他 提供 银行 账户 及 密码 。 这 是 一 种 攻击 手段 。 
A. 缓存 区 溢出 B. 钓鱼 C. 后 门 D. DDoS 
19. 在 网 络 攻击 中 ， 攻 击 者 窃取 到 系统 的 访问 权 并 盗用 资源 进行 的 攻击 属于 
A. 拒绝 服务 B. 侵入 攻击 C. 信息 盗窃 D. 信息 算 改 
20. 下 列 关于 特征 和 行为 的 描述 中 ， 不 属于 DoS 的 是 


A. 利用 操作 系统 或 应 用 系统 的 薄弱 环节 发 起 攻击 

B. 生成 足够 多 的 业务 量 来 拖 垮 服务 器 

C. 对 计算 机 系统 的 资源 进行 极 大 的 占用 

D. 使 用 电子 邮件 地 址 列表 来 向 其 他 计算 机 发 送 自己 的 副本 


二 、 填 空 题 
1. 计算 机 病毒 是 一 段 程序 ， 它 不 单独 存在 ， 经 常 是 附属 在 的 起 、 末 端 ， 或 磁盘 引 
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导 区 、 分 配 表 等 存储 器 件 中 。 








2. 计算 机 病毒 的 5 个 特征 是 : 主动 传染 性 、 破 坏 性 、 、 寄 生性 〈 隐 蔽 性 ) 和 

3. 计算 机 病毒 是 ， 它 能 够 侵入 ， 并 且 能 够 通过 修改 其 他 程序 ， 把 自己 或 者 自己 的 
变种 复制 插入 其 他 程序 中 ;这些 程 序 又 可 传染 别 的 程序 ， 实 现 繁殖 传播 。 

4. 是 一 组 计算 机 指令 或 者 程序 代码 ， 能 自我 复制 , 通常 嵌入 在 计算 机 程序 中 ， 能 够 破坏 计算 
机 功能 或 者 毁坏 数据 ， 影 响 计算 机 的 使 用 。 

号 是 对 计算 机 系统 或 其 他 网 络 设备 进行 与 安全 相关 的 检测 , 找 出 安全 隐患 和 可 被 黑客 利用 的 
漏洞 。 

6. DDoS 的 攻击 形式 主要 有 和 

三 、 问 答题 


1. 举 一 例 说 明 你 所 遇 到 的 信息 系统 安全 威胁 事件 。 

2. 什么 是 0day 漏 洞 ? 

3. 收集 充分 的 证 据 ， 论 述 病毒 程序 的 特征 。 

4. 收集 资料 ， 解 析 下 列 恶意 代 码 的 关键 技术 。 

(1)“ 求 职 信 ” 病 毒 。 

(2)“ 主 页 ”病毒 。 

(3)“ 欢 乐 时 光 ” 病 毒 。 

(4)“ 爱 虫 ”病毒 。 

(5) “美丽 杀 ” 病 毒 。 

(6)“ 万 花 谷 ”病毒 。 

(7)“ 红 色 代码 ”病毒 。 

5. 在 什么 情况 下 ， 病 毒 能 感染 被 写 保护 的 文件 ? 

6. 收集 资料 ， 解 析 一 种 最 新 病毒 的 关键 技术 。 

7. 总 结 现代 病毒 技术 及 其 发 展 趋势 。 

8. 讨论 现代 病毒 检测 技术 的 发 展 趋势 。 

9. 讨论 现代 反 病 毒 技 术 的 发 展 趋势 。 

10. 收集 资料 ， 讨 论 针 对 当前 3 种 流行 病毒 的 查 、 杀 和 感染 后 的 恢复 方法 。 
11. 收集 资料 ， 讨 论 针对 当前 3 种 流行 蠕虫 的 查 、 杀 和 感染 后 的 恢复 方法 。 
12. 分 析 蠕虫 与 病毒 的 区 别 ， 收 集资 料 ， 解 析 下 列 蠕虫 的 关键 技术 。 

(1) 蠕虫 王 。 
(2) 震荡 波 。 

13. 收集 资料 ， 讨 论 针 对 当前 3 种 流行 木马 的 防范 及 清除 策略 。 
14. 什么 叫 网 络 木 马 攻击 ? 

15. 木马 有 哪些 危害 ? 

16. 木马 按 破坏 功能 分 为 哪 几 种 ? 

17. 典型 木马 有 哪些 特性 和 辅助 特点 ? 

18. 木马 有 哪些 植 入 技术 ? 
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19. 木马 自动 加 载 方式 有 哪 几 种 ? 

20. 木马 是 如 何 隐藏 自己 的 ? 

21. 请 举例 说 明 几 种 常见 的 木马 程序 和 使 用 端口 号 。 

22. 木马 的 远程 监控 功能 有 哪些 ? 

23. 如 何 对 木马 进行 防御 ? 

24. 简 述 常见 的 黑客 攻击 过 程 。 

25. 比较 病毒 、 蠕 虫 、 木 马 、 后 门 和 僵尸 。 

26. 收集 国内 外 有 关 病 毒 和 其 他 恶意 程序 的 网 站 信息 ， 简 要 说 明 各 网 站 的 特点 。 

27. 总 结 各 种 电磁 波 窃听 方法 的 技术 要 点 ， 提 出 相应 的 防范 设想 。 

28. 收集 各 种 手机 监听 技术 要 点 ， 提 出 相应 的 防范 设想 。 

29. 收集 各 种 网 络 监听 技术 要 点 ， 提 出 相应 的 防范 设想 。 

30. 收集 资料 ， 比 较 下 列传 输 介 质 上 信息 被 监听 的 机 会 和 可 能 。 

(1) 以 太 网 。 

(2) 令 牌 网 。 

(3) 电话 网 。 

(4) 有 线 电视 网 。 

(5) 微波 和 无 线 电 。 

31. 请 解释 以 下 5 种 “窃取 机 密 攻击 ”方式 的 含义 。 

(1) 网 络 踩点 〈Footprinting )。 

(2) 扫描 攻击 〈Scanning )。 

(3) 协议 栈 指 纹 (Stack Fingerprinting) 鉴别 〈 也 称 操作 系统 探测 )。 

(4) 信息 流 嗅 探 (Sniffering )。 

(5) 会 话 劫持 (Session Hijacking )。 

32. 请 解释 以 下 5 种 “非法 访问 ”攻击 方式 的 含义 。 

(1) 口令 破解 。 

(2) IP 欺 骗 。 

(3) DNS 欺 骗 。 

(4) 重 放 (Replay) 攻击 。 

(5) 特洛伊 木马 (Trojan Horse)。 

33. 分 析 路 由 欺骗 的 原理 ， 并 与 ARP 欺 骗 和 DNS 欺 骗 进行 比较 。 

34. IP 欺 骗 有 哪些 方法 ? 

35. 请 描述 局 域 网 间 通 信 时 一 次 完整 的 ARP 欺 骗 过 程 。 

36. 请 描述 一 次 完整 的 DNS 欺 骗 过 程 。 

37. 简 述 电子 邮件 欺骗 可 能 造成 的 危害 有 哪些 ? 

38. 试用 工具 生成 一 个 口令 字典 。 

39. 假定 允许 使 用 26 个 字母 和 10 个 数字 构造 口令 ， 口 令 长 度 为 6 个 字符 ， 若 采用 蛮 力 攻击 ， 在 下 列 情 
况 下 各 需要 多 少时 间 ? 

(1) 检查 一 个 口令 需要 0.1s。 
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(2) 检查 一 个 口令 需要 1ps。 


40. 
. 简 述 Windows 下 的 口令 攻击 方法 有 哪些 。 

. 两 人 试 在 UNIX 系 统 上 进行 一 次 口令 攻击 对 抗 。 

. 举例 说 明 黑 客 是 如 何 进行 Web 欺 骗 的 ? 

. 尽 可 能 多 地 收集 Sniffer 产 品 的 数据 ， 进 行 比较 分 析 ， 分 别 指出 它们 的 使 用 方法 和 防范 措施 。 
. 嗅 探 软件 是 如 何 捕捉 到 数据 包 并 实现 数据 包 过 滤 功 能 的 ? 

. 介绍 一 种 扫描 工具 的 用 法 ， 记 录 扫 描 结果 并 对 扫描 结果 进行 分 析 。 

.请 解释 全 扫描 和 半 扫 描 的 不 同 。 

. 秘密 扫描 是 如 何 实现 的 ? 

.主动 协议 栈 指纹 识别 OS 有 哪些 方法 ? 

. 常用 的 扫描 工具 有 哪些 ? 

.如 何 对 扫描 进行 防御 ? 

.什么 是 缓冲 区 ? 什么 是 缓冲 区 溢出 ? 

.下载 一 个 进行 缓冲 区 溢出 攻击 的 程序 ， 进 行 分 析 。 

. 举 出 儿 个 利用 缓冲 区 溢出 进行 攻击 的 病毒 名 。 简 述 缓冲 区 溢出 攻击 的 过 程 。 

. 简 述 缓冲 区 溢出 攻击 的 防御 方法 。 

. 阅读 下 面 的 程序 ， 指 出 其 功能 。 


Cn 
一 


口令 破解 有 哪些 方式 ? 口令 破解 器 通常 有 哪儿 部 分 组 成 ? 





. 在 实验 室 中 模拟 一 次 SYN Flood 攻 击 的 实际 过 程 。 

. 什么 是 拒绝 服务 攻击 ? 

. 简要 回答 拒绝 服务 攻击 有 哪些 常用 技术 ? 各 种 技术 的 特点 是 什么 ? 

. 如 何 防 御 拒 绝 服务 攻击 对 系统 的 危害 ? 

. 在 DDoS 攻击 中 ， 为 什么 黑客 不 直接 去 控制 攻击 佛 介 机 ， 而 要 通过 控制 侧 儒 机 发 动 进攻 呢 ? 

.在 http://www.fbi.gov/nipc/trinoo.htm 上 有 一 个 检测 和 根除 trinoo 的 自动 程序 。 请 下 载 并 试用 一 次 。 
63. 


trinoo DDoS 有 如 下 一 些 基本 特性 ， 请 根据 这 些 特性 提出 抵御 trinoo 的 策略 。 


(1) 在 主 控 程 序 与 代理 程序 的 所 有 通信 中 ，trinoo 都 使 用 UDP 协议 。 
(2) Trinoo 主 控 程序 的 监听 端口 是 27 655， 攻 击 者 一 般 借助 Telnet 通 过 TCP 连 接 到 主 控 程 序 所 在 计 
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算 机 。 

(3) 所 有 从 主 控 程 序 到 代理 程序 的 通信 都 包含 字符 串 "144"， 并 且 被 引导 到 代理 的 UDP 端口 27 444。 

(4) 主 控 和 代理 之 间 的 通信 受到 口令 的 保护 , 但 是 口令 不 是 以 加 密 格式 发 送 的 , 因此 它 可 以 被 “ 嗅 探 ” 
到 并 被 检测 出 来 。 

64. 在 网 络 上 下 载 2~3 个 DDoS 监 测 软件 ， 安 装 到 自己 的 计算 机 上 ， 记 录 其 工作 过 程 。 

65. 总 结 DDoS 攻 击 的 防御 方法 。 

66. 浏览 3 个 黑客 网 站 ， 综 述 黑客 们 讨论 的 热点 问题 。 

67. 信息 系统 为 什么 会 存在 攻击 ? 试 从 硬件 和 软件 两 方面 加 以 回答 。 

68. 黑客 攻击 信息 系统 有 哪些 方法 ? 


本 


第 2 章 数据 安全 保护 


信息 系统 安全 主要 是 保障 信息 系统 中 数据 的 安全 。 数 据 安全 防护 主要 涉及 如 下 内 容 。 

(1 ) 数据 的 机 密 性 (confidentiality ) 保护 ， 指 保证 数据 不 为 非 授权 者 ( 用 户 、 实 体 或 过 
程 ) 获取 或 使 用 。 

(2 ) 数据 的 完整 性 (integrity ) 保护 ， 指 保护 数据 在 传输 或 存储 过 程 中 不 受到 未 授权 的 
自 改 或 破坏 。 

(3 ) 数据 的 抗 抵赖 性 ( non-repudiation ) 保护 ， 指 在 传输 数据 时 必须 携带 含有 自身 特质 、 
别人 无 法 复制 的 信息 ， 防 止 数据 的 发 送 者 或 接收 者 事后 对 自己 行为 的 否认 。 

本 章 基 于 数据 加 密 ， 讨 论 数据 的 机 密 性 、 完 整 性 和 抗 抵赖 性 保护 技术 。 


2.1 数据 的 机 密 性 保护 


数据 的 机 密 性 保护 包括 数据 的 可 见 性 保护 和 数据 的 可 读 性 保护 。 前 者 可 借助 于 数据 隐 
藏 技术 ， 后 者 可 借助 于 数据 加 密 技术 。 
2.1.1 数据 加 密 基 础 

数据 加 密 是 隐蔽 数据 的 可 读 性 :将 可 读 的 数据 一 明文 (plaintext， 也 称 为 明码 ) 转换 








为 不 可 读数 据 一 一 密 文 〈ciphertext， 也 称 为 密码 )， 使 非法 者 不 能 直接 了 解数 据 的 内 容 。 加 
如 果 用 己 表 示 明 文 ， 用 C 表示 密 文 ， 则 可 以 将 加 密 写 成 如 下 函数 形式 


C= Egx(P) 
这 里 ，E 为 加 密 函 数 ，EK 称 为 加 密 密 
密码 系统 包括 明文 空间 、 密 文 空间 、 密 钥 空间 和 密码 算法 4 个 方面 。 下 面 通过 介绍 几 
种 简单 的 加 密 方 法 来 介绍 加 密 算法 和 密 钥 的 概念 以 及 加 密 算 法 与 密 钥 之 间 的 关系 。 
1. 替代 密码 


替代 密码 就 是 将 明文 中 的 每 个 位 置 的 字母 都 用 其 他 字母 代替 。 比 较 简单 的 置换 方法 是 
恺 撤 算法 ， 它 将 明文 中 的 每 个 字母 都 用 相隔 一 定 距 离 的 另 一 个 字母 代替 。 例 如 ， 将 明文 
CHINA 中 的 每 个 字母 都 用 字母 表 中 后 面 的 距离 为 5 的 字母 代替 ， 就 会 变 成 密 文 HMNSF。 
这 里 “在 字母 表 上 移动 一 个 距离 ”就 称 为 加 密 算法 ,距离 5 就 称 为 加 密 密 钥 。 这 种 加 密 的 
强度 非常 低 ， 破 译 者 最 多 只 要 按 字 母 表 试 25 次 ， 就 能 根据 组 词 规则 破译 密 文 。 

以 法 国 密码 学 家 Vigenere 命名 的 维 吉 利 亚 密 码 就 是 一 种 比较 复杂 的 奉 代 密 码 。 设 

P= data security, EK=basic 
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则 采用 维 吉利 亚 密码 的 加 密 过 程 如 下 。 
(1) 制作 维 吉利 亚 方 阵 ， 如 表 2.1 所 示 。 规 则 是 第 i 行 以 I 打头 。 
表 2.1 维 吉利 亚 方 阵 








- 轴 攻 光正 避 呈 二 用 本 区 沽 时 列 医 ; 
-区 湖 必 |: 避 相 加 服 二 区 .本 孜 国 区 -4 
TIUIVIWIX|IY|IZIA 
UIVIVWVIX|IYIZIAIB 



































(2) 按 密 钥 的 长 度 将 P 分 解 为 若干 节 。 这 里 basic 的 长 度 为 5， 故 将 明文 分 解 为 表 2.2 


所 示 的 样子 。 


表 2.2 按照 密 钥 分 解 明文 
密 钥 


明文 





(3) 对 每 一 节 上 明文， 利用 密 钥 basic 进行 变换 。 以 明文 d 为 例 ， 变化 的 方法 是 : 由 于 d 
于 密 钥 的 b ee 因此 在 维 吉 利 亚 方 阵 的 第 b 行 中 找到 第 d 个 字符 即 是 。 其 他 以 此 类 推 。 


ht 下 密 


C= Eek(P)= EALIUFCMZKUY 
使 用 ASCII 码 ， 所 发 送 的 位 流 为 
01000101010000010100110001001001010101010100011001000011010011010100101 
0010010110101010101011101 

这 种 密码 是 将 明文 中 的 一 个 字母 用 一 个 相应 的 密 文字 母 替 i 称 为 简单 替换 密码 


(simple substitution cipher) 或 单字 母 密码 (mono alphabetic cipher)。 它 应 用 简单 ， 但 系统 太 
脆弱 ， 极 容易 被 攻破 。 于 是 又 设计 出 多 种 形式 的 替换 法 ， 例 如 以 下 两 种 替换 法 。 


母 。 





(1) 多 名 蔡 换 密码 (homophonic substitution cipher)， 一 个 字母 可 以 映射 为 多 个 密 文字 
例如 : 

A—5, 12, 25, 56 

B=e7; 17; 31, 357 


(2) 多 字母 密码 〈poly alphabetic cipher)， 字 符 块 被 成 组 加 密 。 例 如 : 
ABA—~RTQ 
ABB—SLL 


2. 换 位 密码 


换 位 就 是 将 明文 中 字母 的 位 置 重新 排列 。 最 简单 的 换 位 就 是 逆序 法 ， 即 将 明文 中 的 字 
母 倒 过 来 输出 。 例 如 : 

明文 : computer system 

密 文 : metsys retupmoc 

这 种 方法 太 简 单 ， 非 常 容易 破解 。 下 面 介绍 一 种 稍 复杂 的 换 位 方法 一 一 列 换 位 法 。 

使 用 列 换 位 法 ， 首 先 要 将 明文 排 成 一 个 和 矩阵， 然后 按 列 进行 输出 。 为 此 要 解决 两 个 
问题 。 

(1) 排 成 的 矩阵 的 宽度 ， 即 矩阵 有 多 少 列 。 

(2) 排 成 矩阵 后 ， 各 列 按 什 么 样 的 顺序 输出 。 

为 此 ， 要 引入 一 个 密 钥 K， 它 既 可 定义 矩阵 的 宽度 ， 又 可 以 定义 各 列 的 输出 顺序 。 例 
如 K=computer， 则 这 个 单词 的 长 度 (8) 就 是 明文 矩阵 的 宽度 ， 而 该 密 钥 中 各 字母 按 在 字母 
序 中 出 现 的 次 序 , 就 是 输出 的 列 的 顺序 。 表 2.3 为 按 密 钥 对 明文 “WHAT CAN YOU LEARN 
FROM THIS BOOK” 的 排列 。 于 是 ， 输 出 的 密 文 为 

WORO NNSX ALMK HUOO TETX YFBX ARIX CAHX 


表 2.3 按 密 钥 排列 的 明文 举例 





3. 简单 异 或 
异 或 运算 具有 如 下 特点 : 
0@®@0=0,0@81=1,1®@0=1,1®@1=0,a®@a=0,a®@Bb®@b=a 
即 两 个 运算 数 相同 ， 结 果 为 0， 不 同 ， 结 果 为 1。 
使 用 简单 异 或 进行 加 密 ， 就 是 将 明文 与 密 钥 进行 异 或 运算 ， 解 密 则 是 对 密 文 用 同一 密 
钥 进 行 异 或 运算 ， 即 











P@K=C 
C@K=P 


-le 


4. 分 组 密码 


分 组 密码 是 一 种 加 密 管理 方法 。 它 的 基本 思想 是 将 明文 报 文 编码 例如 用 0 和 1 码 进 
行 编码 )， 并 按照 一 定 的 长 度 (m) 进行 分 组 ， 青 将 各 组 明文 的 码 分 别 在 密 钥 的 控制 下 进行 
加 密 。 例 如 将 明文 编码 按照 64 位 为 一 组 进行 分 组 加 密 。 

采用 分 组 密码 的 好 处 是 便于 标准 化 ， 便 于 在 分 组 (如 x.25 和 耳 ) 网 络 中 被 打包 传输 。 
其 次 ， 由 于 一 个 密 文 组 的 传输 错误 不 会 影响 其 他 密 文 组 ， 所 以 容易 实现 同步 。 但 是 ， 由 于 
相同 的 密 文 一 定 对 应 相同 的 明文 ， 所 以 分 组 密码 不 能 隐蔽 数据 模式 ， 同 时 也 不 能 抵抗 组 重 
放 、 嵌 入 和 删除 等 攻击 。 


实验 5 加 密 博弈 

1. 实验 目的 

(1) 掌握 古典 加 密 程 序 的 设计 方法 。 

(2) 掌握 进行 密码 攻击 的 方法 。 

2. 实验 内 容 

(1) 实验 由 两 (组) 人 共同 完成 : 一 (组 ) 人 进行 加 密 程 序 设计 ， 另 一 〈 组 ) 人 进行 
密码 攻击 程序 设计 。 

(2) 程序 要 求 : 加 密 程序 由 一 组 程序 组 成 ， 分 别 使 用 置换 法 、 换 位 法 、 异 或 法 或 它们 
的 组 合 方法 设计 。 

(3) 实验 在 一 些 文件 上 进行 。 

(4) 实验 过 程 中 ， 要 记录 攻击 时 间 。 

(5) 一 轮 实 验 完 成 后 ， 加 密 方 与 攻击 方 角色 互 换 ， 再 继续 进行 另 一 轮 实验 。 

3. 实验 准备 

(1) 设计 实验 过 程 和 环境 。 例 如 ， 两 方 可 以 通过 电子 邮件 互相 传送 。 

(2) 设计 加 密 程 序 组 和 攻击 程序 组 。 

(3) 准备 实验 用 的 被 加 密 文件 。 

4. 推荐 的 分 析 讨 论 内 容 

分 析 影 响 密码 加 密 强 度 的 因素 。 
2.1.2 ”数据 加 密 体 制 

1. 对 称 密码 体制 和 非 对 称 密码 体制 


如 前 所 述 ， 一 个 加 密 过 程 可 以 描述 为 
C= Eexk(P) 
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SS Dpg(C ) 

其 中 ,，D 称 为 解密 函数 ，DK 为 解密 密 钥 。 于 是 ， 按 照 DK 与 EK 的 关系 ， 可 以 分 为 两 种 
情况 。 

1) 对 称 密 钥 体制 

若 一 种 加 密 方法 有 DK=EK, 则 称 其 为 对 称 密码 体制 , 或 称 单 钥 密码 , 即 在 这 种 方法 中 
加 密使 用 的 密 钥 与 解密 使 用 的 密 钥 相同 。 在 对 称 密码 体制 中 ， 最 为 著名 的 加 密 算法 是 IBM 
公司 于 1971 一 1972 年 研制 成 功 的 数据 加 密 标准 (Data Encryption Standard, DES) 分 组 算法 ， 
1977 年 被 定 为 美国 联邦 信息 标准 。 

2) 非 对 称 密 钥 体制 

若 一 种 加 密 方法 有 DK 天 EK， 则 称 其 为 非 对 称 密码 体制 ， 或 称 双 钥 密 码 ， 即 在 这 种 方 
法 中 , 加 密使 用 的 密 钥 与 解密 使 用 的 密 钥 不 相同 。 在 非 对 称 密码 体制 中 , 最 著名 的 是 以 MIT 
的 R. Rivest、A. Shamir 和 工 . M.Adleman 三 位 数学 家 的 姓氏 首 字 母 命名 的 RSA 算法 。RSA 
加 密 体制 对 一 对 密 钥 有 如 下 要 求 。 

(1) 加 密 和 解密 分 别 用 不 同 的 密 钥 进行 ， 如 用 加 密 密 钥 EK 对 明文 P 加 密 后 ， 不 能 再 
用 EK 对 密 文 进行 解密 ， 只 能 用 相应 的 另 一 把 密 钥 DK 进行 解密 得 到 明文 ， 即 有 
Dek(Eek(P))#P 和 Dpk(EEk(P))=P。 

(2) 加 密 密 钥 和 解密 密 钥 可 以 对 调 ， 即 DEk(Epk(P))=P。 

(3) 应 能 在 计算 机 上 容易 地 成 对 生成 ， 但 不 能 由 已 知 的 DK 导出 未 知 的 EK， 也 不 能 由 
已 知 的 EK 导出 未 知 的 DK。 


2. 基于 密 钥 安 全 的 加 密 


如 前 所 述 ， 密 码 的 安全 决定 于 算法 的 安全 和 密 钥 的 安全 两 个 方面 。 为 此 在 实际 中 可 以 
采用 两 种 不 同 的 策略 ， 一 种 称 为 受 限制 的 算法 ， 另 一 种 称 为 基于 密 钥 的 算法 。 受 限制 的 算 
法 就 是 基于 算法 保密 的 安全 策略 。 这 种 策略 曾经 被 使 用 ， 但 是 在 现代 密码 学 中 已 经 不 再 使 
用 。 原因 如 下 。 

(1) 算法 是 要 人 掌握 的 。 一 旦 人 员 变 动 ， 就 要 更 换算 法 。 

(2) 算法 的 开发 是 非常 复杂 的 。 一 旦 算法 泄密 ， 重 新 开发 需要 一 定 的 时 间 。 

(3) 不 便于 标准 化 。 由 于 每 个 用 户 单位 必须 有 自己 唯一 的 加 密 算法 ， 不 可 能 采用 统一 
的 硬件 和 软件 产品 ， 否 则 偷窃 者 就 可 以 在 这 些 硬 件 和 软件 的 基础 上 进行 猜测 式 开发 。 

(4) 不 便于 质量 控制 。 用 户 自 己 开发 算法 ， 需 要 好 的 密码 专家 ， 否 则 难以 保障 安 
全 性 。 

因此 ， 现 代 密 码 学 认为 ， 所 有 加 密 机 制 的 安全 性 都 应 当 基 于 密 钥 的 安全 性 ， 而 不 是 基 
于 算法 实现 的 安全 保密 。 这 就 意味 着 加 密 算 法 可 以 公开 ， 也 可 以 被 分 析 ， 可 以 大 量 生 产 使 
算法 的 产品 ， 即 使 攻击 者 知道 了 算法 也 没有 关系 ， 只 要 不 知道 解密 具体 使 用 的 密 钥 ， 就 
不 能 破译 密 文 。 因 此 ， 保 密 的 关键 是 保护 解密 密 钥 的 安全 。 
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3. 公开 密 钥 体制 


对 称 密码 体制 运算 效率 高 ， 使 用 方便 ， 加 密 效率 高 ， 是 传统 企业 中 最 广泛 使 用 的 加 密 
技术 。 但 是 ， 由 于 通信 双方 使 用 同样 的 密 钥 ， 因 此 无 论 任何 一 方 生成 密 钥 ， 都 要 通过 一 定 
渠道 向 对 方 传送 密 钥 ， 有 可 能 在 传送 过 程 中 使 密 钥 泄 露 ， 而 且 通信 双方 无 论 任何 一 方 泄密 ， 
都 会 给 双方 造成 损失 。 由 于 在 非 对 称 密码 体制 中 ， 加 密 与 解密 使 用 不 同 的 密 钥 ， 所 以 情况 
大 有 不 同 。 

1) 非 对 称 密 钥 的 生成 过 程 

设 通信 在 A、B 之 间 进 行 ， 则 可 以 采用 下 面 的 方法 生成 密 钥 。 

(1) A 方 产生 一 对 密 钥 ， 将 其 中 一 个 自己 保存 ， 另 一 个 传递 给 B 方 。 

(2) B 方 也 产生 一 对 密 钥 ， 将 其 中 一 个 自己 保存 ， 另 一 个 传递 给 A 方 。 

2) 非 对 称 密 钥 体制 中 的 加 密 方法 

在 非 对 称 密 钥 体制 中 ， 每 端 都 拥有 两 个 密 钥 :一 个 是 只 有 自己 知道 ， 其 他 任何 人 都 不 
知道 的 密 钥 ， 对 于 A 方 而 言 ， 称 为 A 方 的 私 钥 ， 记 为 SKA; 另 一 个 是 对 方 传 来 的 ， 自 己 和 
对 方 都 知道 的 密 钥 ， 对 于 A 方 而 言 ， 称 为 A 方 的 公 钥 ， 记 为 PKA。 于 是 非 对 称 密码 体制 可 
以 提供 如 图 2.1 所 示 的 方法 进行 加 密 。 

(1) A 方 先 用 自己 的 私 钥 SK 对 数据 加 密 ， 形 成 密 文 Ex、(P) 再 用 B 方 的 公 钥 PK 对 
密 文 加 密 ， 形 成 双重 加 密 的 密 文 Enc， (Esx (P))。 

(2) 双重 加 密 的 密 文 Eox，( Esx、(P)) 传送 到 B 方 后 ，B 方 先 用 B 方 的 私 钥 SKs 进行 一 
次 解密 ， 得 到 Ex、(P); 再 用 A 方 的 公 钥 PKA 进行 二 次 解密 ， 才 能 将 二 重 密 文 最 终 解密 。 


Esxa(P) EpxaEska(P) Eska(P) 
Pm| BE [| BE -一 | 一 


D 
| | 人 
SKA PKB SKs PKA 


图 2.1 非 对 称 密码 体制 的 加 密 与 解密 


在 这 种 情况 下 ， 为 了 保护 数据 的 机 密 性 ， 只 要 对 每 一 方 的 私 钥 加 以 保护 即 可 。 而 对 公 
钥 可 以 不 进行 保护 ， 甚 至 可 以 公开 。 这 样 就 不 存在 密 钥 传输 中 的 失 密 问题 了 。 因 此 ， 通 常 
也 将 非 对 称 密码 体制 称 为 公开 密 钥 体制 ， 因 为 要 向 对 方 传送 的 一 个 密 钥 可 以 被 公开 。 这 也 
就 是 通常 把 公开 〈 非 对 称 〉 密 钥 体系 中 的 密 钥 记 为 SK 和 PK， 而 不 再 使 用 记号 EK 和 DK 
的 原因 。 

公开 密 钥 体制 的 问题 是 算法 效率 低 。 因 此 ， 一 般 都 是 用 公开 密 钥 系统 传送 对 称 密码 体 
制 中 的 密 钥 ， 再 用 对 称 密码 体制 传送 密 文 。 

公开 密 钥 体制 是 斯 坦 福 大 学 的 两 位 科学 家 Diffie 和 Hellman 在 1976 年 提出 来 的 。 


2.1.3 AES 算法 
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1973 年 5 月 16 日 , 美国 国家 标准 局 (NBS)， 即 现在 的 美国 国家 标准 与 技术 研究 院 
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(National Institute of Standards and Technology，NIST)， 在 咨询 了 NSA (美国 国家 安全 局 ) 
之 后 ， 发 出 通告 ， 公 开征 求 对 计算 机 数据 在 传输 和 存储 期 间 进行 数据 加 密 的 算法 。 要 求 如 下 。 

(1) 必须 提供 高 度 的 安全 性 。 

(2) 具有 相当 高 的 复杂 性 ， 使 得 破译 的 开销 超过 获得 的 利益 ， 但 同时 又 便于 理解 和 
掌握 。 

(3) 安全 性 应 当 不 依赖 于 算法 的 保密 ， 加 密 的 安全 性 仅 以 加 密 密 钥 的 保密 为 基础 。 

(4) 必须 适合 不 同 的 用 户 和 不 同 的 应 用 场合 。 

(5) 实现 算法 的 电子 器 件 必须 很 经 济 ， 运 行 有 效 。 

(6) 必须 能 够 有 出 口 。 

此 后 数 年 内 ， 美 国 的 许多 公司 、 研 究 机 构 和 大 学 开发 了 许多 算法 。1975 年 ，IBM 公司 
提出 的 算法 被 采纳 ， 并 向 全 国 公布 ,征求 意见 。1976 年 11 月 ,这 个 算法 作为 数据 加 密 标 准 。 
从 此 DES 被 广泛 应 用 。 但 是 ， 由 于 DES 的 密 钥 空间 较 小 ， 只 有 56b， 所 提供 的 密 钥 空间 只 
有 25 ( 约 为 7.2X10')。 这 样 的 空间 不 能 抵抗 穷尽 搜索 攻击 。 

为 此 ，1997 年 4 月 15 日 ,美国 NIST 发 起 征集 新 的 用 于 保护 敏感 的 非 机 密 政 府 信 息 加 
密 标准 一 一 高 级 加 密 标 准 (Advanced Encryption Standard, AES )。1997 年 9 月 给 出 选择 AES 
的 3 条 评估 准则 。 

(1) 安全 性 。 最 短 密 钥 长 度 为 128b， 并 可 抵御 各 种 密 钥 分 析 的 攻击 。 

(2) 效率 。 可 广泛 使 用 ， 有 很 高 的 计算 效率 。 

(3) 灵活 性 。 算 法 灵活 、 简 洁 ， 能 适应 各 种 计算 机 平台 。 

1998 年 6 月, NIST 共 收 到 21 个 提交 的 方案 。 经 过 几 年 的 反复 论证 和 评估 , 最 后 于 2000 
年 10 月 2 日 确定 选择 来 自 比 利 时 Katholieke Universiteit Leuven 电子 工程 系 的 Vincent Rijmen 
博士 和 Proton World International 的 Joan Daemen 博士 设计 的 加 密 算法 Rijndael( 两 人 的 姓氏 
组 合 )。 在 此 期 间 ，NIST 宣布 DES 不 再 作为 标准 。 

Rijndael 算 法 设计 基于 非常 巧妙 的 数学 原理 ,经 过 AES 标准 化 后 ,规定 分 组 大 小 为 128b， 
密 钥 长 度 可 以 是 128b、192b 或 256b， 分 别称 为 AES-128、AES-192 和 AES-256。 下 面 介绍 
Rijndael 算法 。 


1. 状态 矩阵 


Rijndael 是 分 组 算法 ， 其 运算 的 基本 单位 是 字 节 ， 所 给 出 的 分 组 长 度 和 密 钥 长 度 都 有 
128b (16B)、192b (24B) 和 256b (32B) 3 个 等 级 。 在 加 密 过 程 中 ， 将 每 个 分 组 按 字 节 分 
别 组 织 成 如 图 2.2 所 示 的 3 个 4 行 字 节 和 矩阵。 































































































a | a4 | Gs |a12 ao | 44 | 08 | 02 | ai6 | G20 ao | a4 | as | 12| ai6| 020| 024 | 028 
wm | 1s a | | | | | | | Sas| | | | 2 
@ | a6 [qo 44 2 | a6 |910 | 14 | 8 | 022 @ | a6 | aio| G14| alg| 022| G26 | Gao 
3 | |an|as be bre dd bad Ed gd bee @ | 07 |an|as| 9| 023|227 | 031 
(a) 16B 和 矩阵 (b) 24B 和 矩阵 (ce) 32B 和 矩阵 





图 2.2 3 个 状态 矩阵 
这 些 和 矩阵 是 Rijndael 算法 进行 处 理 的 基础 , 一 个 加 密 过 程 就 是 不 断 对 这 种 矩阵 进行 迭代 
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变换 的 过 程 ， 将 之 称 为 状态 〈state) 和 抢 阵 。 状 态 矩 阵 的 列 数 记 为 Nu。。 同 样 ， 也 要 把 3 个 等 
级 的 密 钥 组 织 成 3 种 字 节 矩阵 。 


2. Rijndael 算法 加 密 的 迭代 过 程 


Rijndael 算法 是 一 种 迭代 算法 , 其 过 程 如 图 2.3 所 示 。 首先 将 密 钥 Ko 和 待 加 密 信 息 按 位 
相 与 ， 然 后 所 有 要 加 密 的 分 组 都 用 一 个 轮 函 数 下 进行 办 代 计算 。 


明文 X F -el EF [=| £ | Xr 
Ko | | ‘| 


密 钥 一 | 密 钥 扩展 函数 









































图 2.3 ”迭代 过 程 
AES 的 函数 眉 要 迭代 M 轮 ，N 的 值 由 密 钥 长 度 和 分 组 长 度 决定 ， 有 具体 如 表 2.4 所 示 。 
表 2.4 Rijndael 算法 迭代 轮 数 入, 的 值 


分 组 长度 256b 
密 钥 长 度 128b (Nb=4) 14 
密 钥 长 度 192b (Nb=6) 14 
密 钥 长 度 256b (Nm=8) 14 





在 前 N.-l1 轮 中 ， 五 包含 4 个 动作 。 

(1) 字 节 代 换 。 

(2) 行 移 位 。 

(3) 列 混淆 。 

(4) 轮 密 钥 加 。 

最 后 一 轮 〈 第 N 轮 ) 包含 3 个 动作 。 

(1) 字 节 代 换 。 

(2) 行 移 位 

(3) 轮 密 钥 加 。 

Ko, Ki, Kz,…，Kw 为 每 一 轮 中 使 用 的 子 密 钥 ， 它 们 由 一 个 密 钥 扩展 函数 所 产生 。 初 始 
密 钥 Ko 就 是 主 密 钥 K。 

3. 字 节 代 换 


在 Rijndael 算法 中 采用 了 替代 技术 ,进行 字 节 代 换 。 字 节 代 换 是 非 线性 的 , 它 独 立地 将 
状态 中 的 每 个 字 节 用 代 换 表 一 一 S 盒 中 的 值 进行 代 换 。 如 图 2.4 所 示 ，S 盒 用 每 个 字 节 的 高 
4 位 作为 行 值 ， 低 4 位 作为 列 值 ， 按 此 找 出 对 应 的 表 值 。 表 中 的 数值 都 是 十 六 进 制 的 。 


4. 行 移 位 
在 Rijndael 算法 中 还 采用 了 换 位 技术 一 一 行 移 位 。 移 动 方法 是 对 状态 阵列 中 的 第 2、3、 
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0 1 2 于 4 和 6 3 8 9 A B C D E 全 
0|63|7C|77|7B|F2|6B|6F|C5|30|01|67|2B|FE|D7|AB| 7 
1|CA|82|CcC9|7DI|IFA|I59|47|F0|AD|ID4|A2|AF|IIC|IA4I72|CO 
2|B7|FD|93|26|36|3F|IF7|ICC|34|A5|IES|FI|7|Ds|31|15 
3|104|c7|23|c3|18|9%|05|9A|07 1l12 | 80 | E2 |EB|27 | B2| 75 
4|09|83|2C|1A|IB|6E|5A|IA0|52|3B|D6|B3|29 |E3 |2F |84 
5|53|D1|00|ED|I20|FC|BI|5B|6A|CBI|BE|39 |4A|4C| 58 |CF 
6|D0|EF|IAA|IFB|43|4D|33|85|45|F9|02|7F|50|3C | 9F |A8 

行 7|51|A3|40|8F|92|9D|38|F5|BC|B6 |DA|21 10 | FF | F3 | D2 
8|cD|Ioc|13|EC|S5F|I9|4|17|cC4|A7|7E|3D|6 |5D|19|73 
9|60|81|4F|DC|22|2A|90|88 | 46|EE|BS|14 |DE| 5E |0B|DB 
A|E0|32|3A|0A|49|106|24|5C|C2|D3|AC|I62|91 3 1 和 
B|E7|C8|37|6D|8D|ID5|4E|A9|6C| S56 |F4|EA|SG65 |7A |AE| 08 
CI|IBA|78|25|2E|IC|IA6|B4|C6| Es |DD|74 |1F |4B |BD| gD | 8A 
D|70|3E|B5|66|48|03|F6|0E|61 |35|57|B9|8|Cl|1D| 9 
E|E!|Fs8|98|11|6 |D9|8E|94|9B|1IE| 87 |E9 |CE| 55 | 28 |DF 
F|8C|IA!lI|I89|0oD|IBFIEG|42|68|41|99 |2D|o0F |Bo |54 |BB| 16 



























































图 2.4 Rijndael 算法 中 使 用 的 S 盒 
4 行 分 别 循环 左 移 CI、Cz、C3 列 。Ci、Cz、C3 的 值 与 分 组 大 小 有 关 ， 有 具体 值 见 表 2.5。 
表 2.5 ”状态 矩阵 中 第 2、3、4 行 的 移 位 值 
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S10 | sii | S12 1 3i3 | sio 
sa0 | s21 [sz2 [sz | 循环 左 移 2 列 | ss, | 55 | 550 [5 

循环 | ; | 卫 ? 
$30 | 531 | 532 | 533 | 循环 左 移 3 列 .| 533 ss0 | 332 



































图 2.5 分 组 长 度 为 128b 的 状态 矩阵 列 行 移 位 
5. 列 混淆 


在 行 位 移 的 基础 上 ，Rijndael 算法 还 进行 了 列 混淆 ， 即 对 状态 矩阵 中 的 每 一 列 (在 
Rijndael 算法 中 称 为 一 个 字 ) 进行 一 次 如 下 的 和 矩阵 运算 。 其 中 c 为 列 号 (0 三 c<N )， 如 2c 
为 第 2 行 第 c 列 。 


二 


se | [02 03 01 011 
si | |o1 02 03 01lls 
si | |ol 01 02 03|s, 
sl| Lio ‘or ‘ou '02 

即 有 如 下 结果 : 
soc =({02} * soc) BD ({03} * s1c) Bs2c® s3e 
Sle =soc ®({02} ° sic) B®({03} * s2) ® sc 
3 一 3S0c BD(sS1cDB({02} * s20) DB ({03} * s3c) 
S3c =({03} * so) © sie ({03} * $10) © $2 ® ({02} * s30) 
这 里 ， 符 号 田 表 示 二 进 制 异 或 。 
例 2.1 若 第 1 列 分 别 为 187}、{6E}、{46}、{A6}， 请 计算 wh 。 
由 上 述 混淆 算法 可 以 得 到 
so =({02} * {87}))® ({03} * {6E})® {46} ® {47} 
{02}=x 
{87}=x +x +x+1 
则 
{02} » {87}=xs + +x +x 
再 对 一 个 8 次 的 不 可 约 多 项 式 求 模 ， 得 
x+x+tx+x) mod (xetxtt+x t+x +xt+1) =xt+x :+1 
写成 二 进 制 形式 为 00010101。 
同 理 得 到 {03}*。 {6E}= 10110010，{46}=01000110，{47}=10100110。 
故 表 达 式 ({02}。{87})@({03}。{6E})@ {46} @ {47} 可 以 用 下 面 的 方法 计算 得 到 。 
0001 0101 
1011 0010 
0100 0110 
® 1010 0110 
0100 0111={47} 


6. 轮 密 钥 加 
轮 密 钥 加 变换 可 以 看 成 状态 矩阵 中 的 一 个 字 与 轮 密 钥 的 一 个 字 进 行 异 或 运算 。 
7. 密 钥 扩 展 


下 面 以 分 组 长 度 和 密 钥 长 度 都 为 128b 的 AES 加 密 算法 为 例 , 说 明 密 钥 扩 展 的 算法 。 由 
前 面 的 讨论 可 知 ， 这 时 要 进行 10 轮 欠 代 ， 总 共 需 要 Ko, Ki, Kz,…，Kw, 共 11 个 密 钥 。 每 个 
密 钥 矩阵 有 4 个 字 ， 共 需要 44 个 密 钥 字 ;， 而 现在 只 有 4 个 字 的 原始 密 钥 。Rijndael 算法 中 
的 密 钥 扩展 就 是 要 从 这 4 个 原始 的 密 钥 字 再 扩展 出 来 40 密 钥 字 。 密 钥 扩 展 算法 如 下 。 
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首先 建立 一 个 大 小 为 44 的 密 钥 数 组 w。 其 每 个 元 素 为 4 个 字 节 。 接 着 将 原始 密 钥 复制 
到 w 的 前 4 个 字 中 ， 得 到 w[0]、w[H、w[2]、w[3]。 然 后 用 这 4 个 字 扩展 w 中 余下 的 部 分 ， 
使 w 四 的 值 依赖 于 w[- 1 和 w[E- 有 久 。 其 中 i 三 4。 然 后 按照 下 列 方法 进行 扩展 。 

(1) 当 i 为 非 4 的 整数 倍 时 ，w 四 的 值 为 w[i 一 1 与 wE- 4] 的 异 或 。 

(2) 当 i 为 4 的 整数 倍 时 ， 按 下 面 的 方法 进行 。 

@ 将 wli--1] 的 4 个 字 节 [bo, bi1, bz, Bb3] 循 环 左 移 1 个 字 节 ， 即 变 为 [bi, bz, bs, bo]。 

@ 用 S 盒 对 输入 字 的 每 个 字 节 进行 字 节 代 换 。 

图 将 w[i 一 与 @ 的 结果 异 或 ， 与 @ 的 结果 异 或 ， 再 与 轮 常数 Recon[i] 异 或 。 轮 常数 在 
每 一 轮 中 为 一 个 常数 ， 具 体 见 表 2.6 所 示 。 





表 2.6 轮 常数 的 值 


Recon[i] 
200000000 





400000000 
800000000 
1B0000000 
360000000 





192b 和 256b 中 的 密 钥 扩展 算法 如 上 类 似 ， 在 此 不 再 歼 述 。 

8. Rijndael 解密 算法 

Rijndael 解密 算法 是 Rijndael 加 密 算法 的 逆 变 换 ， 算 法 类 似 ， 只 是 顺序 不 同 ， 这 里 不 再 
介绍 。 
2.1.4 公开 密 钥 算法 RSA 

1. RSA 的 数学 基础 


1) 费 马 (Fermat) 定理 

描述 1: 若 p 是 素数 ，a 是 正 整数 且 不 能 被 p 整除 ， 则 a?! 三 1 modP。 

描述 2: 对 于 素数 p， 若 a 是 任 一 正 整 数 ， 则 a? 三 a (mod p)。 

例 2.2 设 p=3，a=2， 则 2>7=4 三 1 (mod 3) 或 23=8 三 2 (mod 3)。 

例 2.3 设 p=5，a=3， 则 3”7'=81 三 1 (mod 5) 或 3=243 三 3 (mod 5)。 

2) 欧 拉 (Euler)〉 函数 

欧 拉 函数 g(n) 表 示 小 于 n 并 与 n 互 素 的 正 整 数 的 个 数 。 

例 2.4 9g(6)=2,{1,5}; gp(7)=6,{1,2,3, 4,5,6}; g(9)=6, {1,2,4,5,7,8}。 
3) 欧 拉 定理 

若 整 数 a 和 m 互 素 ， 则 


a "1 (mod m) 


eh 


例 2.5 设 a=3， m=7， 则 有 gq(7=6，3=729，729 二 1 (mod 7)。 
例 2.6 设 a=4， m=5， 则 有 g(5)=4，4 和 =256，256 二 1 (mod 5)。 


2. RSA 加 密 密 钥 的 产生 


RSA 依赖 于 一 个 基本 假设 : 分解 因 子 问 题 是 计算 上 的 困难 问题 ， 即 很 容易 将 两 个 素数 
乘 起 来 ， 但 分 解 该 乘积 是 困难 的 。 
1) 基本 过 程 
(1) 选取 两 个 保密 的 大 素数 总 和 9 (保密 )。 
(2) 计算 n=pq〔 公 开 )，g(n) =(p-1)(q-1)( 保 密 )。 
(3) 随机 选取 一 个 整数 e， 满足 1<e< yp(o) 且 gcd(p(z),e)=1 (公开 )。 
(4) 计算 4， 满足 de 三 1 mod p(n)( 保 密 )。 
说 明 : 4d 是 e 在 模 gp(o) 下 的 乘法 逆 元 。 因 为 e 与 g(n) 互 素 ， 所 以 其 乘法 道 元 一 定 存在 。 
(5) 得 到 一 对 密 钥 : 公开 密 钥 {e, n}， 秘 密 密 钥 {4,n}。 
2) 应 用 举例 
(1) 选择 两 个 素数 p=7，g = 17。 
(2) 计算 n=pg=7X17=119。 
计算 n 的 欧 拉 函数 g(n)=(p-1)(q-1)=6X16= 96。 
(3) 从 [0，95] 间 选 一 个 与 96 互 质 的 数 e= 5。 
(4) 根据 式 
5d= 1 mod 96 
解 出 d=77， 因 为 e1=5X77=385=4X96+1 三 1 mod 96。 
(5) 得 到 公 钥 PK= (e, n) ={5,119}， 密 钥 SK={77,119}。 
3. RSA 加 密 /解密 过 程 
1) 基本 过 程 
(1) 明文 数字 化 ， 即 将 明文 转换 成 数字 串 。 
(2) 分 组 。 将 二 进 制 的 明文 串 分 成 长 度 小 于 logzm 的 数字 分 组 。 如 果 p 和 gq 都 为 100 
位 素数 ， 则 nn 将 有 200 位 ， 所 以 每 个 明文 分 组 应 小 于 200 位 。 
(3) 加 密 算法 
C=M? modn 
最 后 得 到 的 密 文 C 由 长 度 相 同 的 分 组 C; 组 成 。 
(4) 解密 算法 
D(C)=C" modn 
2) 综合 应 用 举例 
(1) 产生 密 钥 。 
设 p=43,g=59,n=43X59=2537,，g(n)=42X58=2436。 
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取 e=13 (与 g(n) 没 有 公 因 子 )。 
解 方程 de 三 1 (mod 2436)， 计 算 过 程 如 下 : 
2436 =13X 187+5，5=2436-13 X187 
13 =2X5+3, 3=13-2X5 
1 =3-2=3- (5-3)=2X3-5=2X(13-2X5)-5 

KI SS 

=2X13-5X(2436-13 X187) 

=(187X 5+2)X13-5X2436 

=937X13-5X2436 
即 

937X13 三 1 (mod 2436) 
故 e=13，dqd=937。 
(2) 加 密 。 
明文 : public key encryptions。 
明文 分 组 : pu blic ke yencry pt io ns。 
明文 数字 化 〔 按 字母 序 , 令 a=00,b5=01,c=02,…,， y=24,z=25); 
1520 0111 0802 1004 2404 1302 1724 1519 0814 1418 
加 密 : 按照 算法 M” (mod n)= C， 如 1520" (mod 2537) = 0095， 得 到 密 文 : 
0095 1648 1410 1299 1365 1379 2333 2132 1751 1289 

解密 按照 算法 Ce (mod n)= Mi， 如 0095%7 (mod 2537) = 1520。 


4. RSA 安全 性 分 析 


RSA 体制 的 加 密 强度 依赖 于 大 数 分 解 的 困难 程度 。 采 用 穷 举 法 ， 对 于 两 个 100 位 的 十 
进 制 大 素数 ， 破 译 它 大 约 需 要 103 步 ， 若 使 用 100 万 步 / 秒 的 计算 机 资源 对 其 进行 破 密 ， 约 
需要 1000 年 。 

但 是 ， 人 类 的 计算 能 力也 在 不 断 提 高 ， 原 来 一 些 被 认为 不 可 能 分 解 的 大 数 ， 现 在 已 经 
被 成 功 分 解 。 例 如 ，RSA-129( 即 为 129 位 的 十 进 制 数 ， 约 428b)， 历 时 8 个 月 ， 已 经 于 
1994 年 4 月 被 成 功 分 解 。 而 且 有 报道 ， 国 外 科学 家 正在 用 量子 方法 对 大 数 分 解 发 起 冲击 。 

不 过 ， 在 目前 的 情况 下 ， 密 钥 长 度 在 1024 一 2048b 的 RSA 还 是 相对 安全 的 。 

为 了 保证 RSA 安全 性 ， 对 p 和 g 还 有 如 下 要 求 。 

(1) p 和 g 的 长 度 相 差 不 要 太 大 。 

(2) p-1 和 4-1 都 应 当 有 大 数 因子 。 

(3) gcd(p-1，9-1) 应 小 。 


2.1.5” 密 钥 管 理 


现代 密码 体制 有 点 像 门 锁 ， 房 间 的 安全 主要 依赖 于 钥匙 。 也 更 像 现 代 的 电子 锁 ， 锁 门 
的 操作 (相当 于 加 密 算 法 ) 非常 简单 ， 房 间 的 安全 关键 在 于 卡片 式 钥匙 的 保管 ， 而 一 旦 卡 
片 丢 失 或 房间 换 人 ， 只 要 重新 对 卡片 进行 设置 即 可 。 按 照 “ 一 切 秘密 寅 于 密 钥 之 中 ”的 现 
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代 密 码 学 基本 原则 ， 密 钥 的 安全 保护 成 为 系统 安全 的 一 个 重要 方面 ， 密 钥 管理 是 系统 安全 
中 的 一 件 至 关 重 要 的 工作 。 


1. 密 钥 管理 的 一 般 过 程 


一 般 说 来 ， 密 钥 管 理 主要 包括 密 钥 的 生成 、 分 配 、 使 用 等 一 系列 过 程 。 下 面 简要 介绍 

1) 密 钥 的 生成 

密 钥 生成 的 目的 是 生成 好 的 密 钥 。 对 于 对 称 加 密 来 说 ， 密 钥 的 长 度 越 大 ， 对 应 的 密 钥 
空间 就 越 大 ， 密 钥 的 强度 就 大 。 此 外 ， 由 自动 密 钥 设备 生成 的 随机 比特 串 要 比 按照 某 种 规 
则 生成 的 密 钥 好 。 但 是 ， 在 选择 随机 生成 的 密 钥 时 ， 要 避免 选择 弱 密 钥 。 对 于 公 钥 密码 体 
制 来 说 ， 密 钥 还 必须 满足 特定 的 数学 特征 。 

2) 密 钥 的 分 配 

在 密 钥 管理 中 ， 最 核心 、 最 关键 的 问题 是 密 钥 分 配 一 一 主要 涉及 密 钥 的 发 送 和 验证 。 
前 者 要 求 通 过 非常 安全 的 通路 进行 传送 ， 后 者 要 求 有 一 套 机 制 用 于 检验 分 发 和 传送 的 正 
确 性 。 

密 钥 的 分 发 方法 可 以 分 为 两 种 : 网 外 分 发 和 网 内 分 发 。 网 外 分 发 即 人 工分 发 : 派 非 常 
可 靠 的 信使 邮寄 、 信 和 铀 等 ) 携带 密 钥 分 配给 各 用 户 。 但 是 ， 随 着 用 户 的 增加 、 通 信 量 的 
增 大 以 及 黑客 技术 的 发 展 ， 密 钥 的 使 用 量 增 大 ， 且 要 求 频 繁 更 换 ， 信 使 分 配 就 不 再 适用 ， 
而 多 采用 网 内 密 钥 分 配 ， 即 自动 密 钥 分 配 。 

网 内 密 钥 分 配 的 方式 有 两 种 : 用户 之 间 直 接 分 配 和 通过 设立 一 个 密 钥 分 配 中 心 (Key 
Distribution Center，KDC) 分 配 。 具 体 过 程 由 密 钥 分 配 协议 决定 。 目 前 国际 有 关 标 准 化 机 构 
都 在 着 手 制 定 关于 密 钥 管 理 技术 的 规范 。 

3) 密 钥 的 控制 使 用 

控制 密 钥 使 用 ， 是 为 了 保证 按照 预定 的 方式 使 用 。 控 制 密 钥 使 用 的 信息 有 以 下 几 项 。 

(1) 密 钥 主 权 人 。 

(2) 密 钥 合法 使 用 期 限 。 

(3) 密 钥 标 识 符 。 

(4) 密 钥 预定 用 途 。 

(5) 密 钥 预定 算法 。 

(6) 密 钥 预定 使 用 系统 。 

(7) 密 钥 授权 用 户 。 

(8) 在 密 钥 生成 、 注 册 、 证 书 等 有 关 实 体 中 的 名 字 等 。 

4) 密 钥 的 保护 与 存储 

密 钥 从 产生 到 终结 ， 在 整个 的 生存 期 中 都 需要 保护 。 一 些 基本 的 措施 如 下 。 

(1) 密 钥 绝 不 能 以 明文 形式 存放 。 

(2) 密 钥 首先 选择 物理 上 最 安全 的 地 方 存放 。 
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(3) 在 有 些 系统 中 可 以 使 用 密 钥 碾 碎 技术 由 一 个 短语 生成 单 钥 密 钥 。 

(4) 可 以 将 密 钥 分 开 存放 。 例如， 将 密 钥 平 分 成 两 段 ,一 段 存 入 终端 ， 一段 存 入 ROM 
或 者 将 密 钥 分 成 若干 片 ， 分 发 给 不 同 的 可 信者 保管 。 

5) 密 钥 的 停 用 和 更 新 

任何 密 钥 都 不 可 能 无 限期 地 使 用 。 有 许多 因素 使 得 密 钥 不 能 使 用 太 长 的 时 间 ， 密 钥 使 
用 得 越久 ， 攻 击 者 对 它 的 攻击 方法 越 多 ， 攻 击 的 机 会 越 多 。 密 钥 一 旦 泄露 ， 若 不 立即 废除 ， 
时 间 越 长 ， 损 失 越 大 。 因 此 ， 不 同 的 密 钥 应 当 有 不 同 的 有 效 期 ， 同 时 必须 制定 一 个 检测 密 
钥 有 限期 的 策略 。 密 钥 的 有 限期 依据 数据 的 价值 和 给 定时 间 里 加 密 数据 的 数量 确定 。 

当 发 生 下 列 情况 时 ， 应 当 停 止 密 钥 的 使 用 ， 更 新 密 钥 。 

(1) 密 钥 的 使 用 期 到 ， 应 该 更 新 密 钥 。 

(2) 确信 或 怀疑 密 钥 被 泄露 ， 密 钥 及 其 所 有 变形 都 要 替换 。 

(3) 怀疑 密 钥 是 由 一 个 密 钥 加 密 密 钥 或 其 他 密 钥 推导 出 来 时 ， 各 层 与 之 相关 的 密 钥 都 
应 更 换 。 

(4) 通过 对 加 密 数 据 的 攻击 可 以 确定 密 钥 时 ， 在 这 段 时 间 内 必须 更 换 密 钥 。 

(5) 确信 或 怀疑 密 钥 被 非法 替换 时 ， 该 密 钥 和 相关 密 钥 都 要 被 更 换 。 

6) 密 钥 的 销毁 

密 钥 被 替换 后 ， 旧 密 钥 必须 销毁 。 旧 密 钥 虽然 不 再 使 用 ， 却 可 以 给 攻击 者 提供 许多 有 
重大 参考 价值 的 信息 ， 为 攻击 者 推测 新 的 密 钥 提供 许多 有 价值 的 信息 。 为 此 ， 必 须 保 证 被 
销毁 的 密 钥 不 能 给 任何 人 提供 丝毫 有 价值 的 信息 。 下 面 是 在 销毁 密 钥 时 使 用 的 一 些 方法 。 

(1) 密 钥 写 在 纸 上 时 ， 要 把 纸张 切 碎 或 烧毁 。 

(2) 密 钥 存在 EPROM 中 时 ， 要 对 E?PROM 进行 多 次 重 写 。 

(3) 密 钥 存 在 EPROM 或 PROM 中 时 ， 应 将 EPROM 或 PROM 打 碎 成 小 片 。 

(4) 密 钥 存在 磁盘 中 时 ， 应 当 多 次 重 写 覆盖 密 钥 的 存储 位 置 ， 或 将 磁盘 切 碎 。 

(5) 要 特别 注意 对 存放 在 多 个 地 方 的 密 钥 的 同时 销毁 。 

2. 密 钥 分 配方 法 举例 

密 钥 分 配 是 密 钥 管理 的 核心 。 下 面 介绍 几 种 密 钥 分 配方 法 。 

1) 密 钥 分 配 中 心 分 发 单 密 钥 


若 A 和 B 有 一 个 共同 的 可 信任 的 第 三 方 一 一 密 钥 分 配 中 心 (KDC)。KDC 可 以 通过 加 
密 连 接 将 密 钥 安 全 地 传送 给 A 和 B。 这 种 方法 多 用 于 单 钥 密 钥 的 分 配 。 图 2.6 为 一 个 采用 这 








©) 


图 2.6 一 个 依靠 KDC 进行 密 钥 分 配 的 例子 
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种 方法 的 密 钥 分 配 例子 。 

这 个 例子 的 前 提 是 A 和 B 有 一 个 共同 的 可 信任 的 第 三 方 一 一 KDC， 即 KDC 分 别 与 A 
和 B 有 一 个 保密 的 信道 ， 即 KDC 与 A 和 B 分 别 已 经 有 一 个 通信 密 钥 KA 和 Ke。 假定 A 与 
B 的 通信 是 A 主动 ， 目 的 是 通过 KDC 分 配 的 密 钥 与 B 建立 一 个 秘密 通信 通道 。 过 程 如 下 。 

(1) A 向 KDC 发 出 会 话 密 钥 请 求 : IDA|| IDs | NA。 

@ IDA 和 IDs 标识 会 话 双方 A 和 B。 

@ NA 标识 本 次 会 话 〈 可 能 是 时 间 戳 或 随机 数 等 一 个 他 人 难于 猜测 的 现时 值 )。 

(2) KDC 对 A 的 请 求 应 答 : Ex [Ks|| IDs|| NAl| Ex, [{Ks|| IDa}]]。 

全 部 报 文 用 A 已 经 掌握 的 密 钥 KA 加密 ， 内 容 包括 3 部 分 。 

@ 一 次 性 会 话 密 钥 Ks。 

@ A 的 请 求 报 文 ( 供 A 检验 )。 

@ 要 求 A 中 转 ， 但 A 不 能 知道 内 容 的 、 用 KB 加密 的 一 段 报 文 : Ks || IDA。 

(3) A 存储 Ks， 并 向 B 转发 Ex [Ks|| IDA]。B 得 到 : 

@ Ks, 还 知道 K, 来 自 KDC (因为 用 Ks 可 解密 , 而 A 不 知道 Ke, 只 有 KDC 知道 Ke)。 

@ 由 IDA 知道 会 话 方 是 A。 

(4) B 向 A 回 送 报 文 : Ex [Ne]。 

@ 用 KK 表明 自己 的 身份 是 B (因为 K, 要 用 Ke 解密 )。 

@ 用 Ns 防止 回放 攻击 。 

(5) A 向 B 回 送 报 文 ，Ek [f (Na)]。 确 认 B 前 次 收 到 的 报 文 不 是 回放 。 

这 样 ，A 与 B 就 有 了 自己 的 秘密 通道 了 。 

2) 无 中 心 的 单 钥 分 配 

图 2.7 是 在 无 KDC 或 不 依靠 KDC 时 A、B 两 方 建立 会 话 密 钥 的 过 程 。 








图 2.7 一 个 无 中 心 的 单 密 钥 分 配 例子 


(1) A 向 B 发 出 会 话 请 求 ， NA。 

NA 标识 本 次 会 话 〈 可 能 是 时 间 戳 或 随机 数 等 一 个 他 人 难于 猜测 的 现时 值 )。 

(2) B 对 A 的 请 求 应答 ， Ex [Ks | IDs || 了 (Na) || Ne]。 

全 部 报 文 用 A、B 共享 的 主 密 钥 Kw 加 密 ， 内 容 包括 4 部 分 。 

@ B 选取 的 会 话 密 钥 K,。 

@ A 的 请 求 报 文 (包括 (NA)， 供 A 检验 )。 

@ B 的 身份 IDe。 

@ 标识 本 次 会 话 的 Ne。 

(3) A 存储 Ks,， 并 向 B 返回 用 Ks; 加密 的 f(N2)， 供 B 检验 。 

采用 这 种 密 钥 分 配方 法 ,在 每 一 对 通信 主体 之 间 都 需要 一 个 共享 主 密 钥 。 对 于 一 个 及 n 
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个 通信 主体 的 网 络 ， 主 密 钥 的 数量 达到 n(n-1)/2 个 。 当 网 络 较 大 时 ， 这 种 方法 没有 什么 实 
用 价值 。 而 依靠 KDC 进行 密 钥 分 发 仅 需要 n 个 (KDC 与 每 个 通信 实体 之 间 共 享 的 ) 主 
3) 由 公 钥 管理 机 构 分 发 公 钥 
若 存 在 一 个 公 钥 管理 机 构 ， 并 且 所 有 用 户 都 知道 该 公 钥 管 理 机 构 的 公 钥 ， 而 只 有 该 公 
钥 管 理 机 构 知道 自己 的 私 钥 ， 则 可 以 采用 图 2.8 所 示 的 方法 进行 A、B 公开 密 钥 体 制 的 密 钥 
分 配 。 











图 2.8 一 个 依靠 公 钥 管理 机 构 进 行 密 钥 分 配 的 例子 


这 个 过 程 分 为 7 步 。 

G@ 用 户 A 向 公 钥 管理 机 构 发 出 请 求 报 文 ， 内 容 如 下 。 

。 一 个 带 时 间 惟 的 报 文 。 

。 请 求 获取 B 的 公 钥 的 请 求 。 

@ 公 钥 管理 机 构 对 A 应 答 (用 A 的 公 钥 加 密 ，A 用 自己 的 私 钥 解密 )。 内 容 有 ; 

。 B 的 公 钥 PKe( 供 A 向 B 发 加 密 报 文 )。 

。 A 的 请 求 ( 供 A 验证 本 报 文 是 对 自己 请 求 的 应 答 )。 

。 最 初 的 时 间 戳 〈 供 A 确认 不 是 公 钥 管理 机 构 发 来 的 旧 报 文 ， 以 确定 PKs 是 B 的 )。 

图 、@ B 用 与 O、@ 相 同 的 方法 ， 从 公 钥 管理 机 构 得 到 A 的 公 钥 PKA。 

@ A 用 PKs 向 B 发 送 一 个 报 文 ， 内 容 如 下 。 

。 A 的 身份 IDA。 

。 一 次 性 随机 数 NA。 

@ B 用 PKA 向 A 发送 一 个 报 文 ， 内 容 如 下 。 

。 NA〈 由 于 只 有 了 B 才能 解密 用 PKs 加 密 的 报 文 ， 将 NA 返回 A， 让 A 确认 是 B)。 

。 一 次 性 随机 数 Ne。 

@ A 用 PKe 将 Ne 加 密 ， 返 回 B， 供 B 确认 。 

这 种 方法 是 基于 公 钥 目录 表 的 。 公 钥 目录 表 是 由 某 个 可 信 的 公 钥 管理 机 构 管理 并 定期 
更 新 、 定 期 公布 的 用 户 公 钥 目录 表 。 目 录 表 中 的 每 个 目录 项 由 两 个 数据 组 成 : 用 户 名 和 该 
用 户 的 公 钥 。 

用 户 可 以 在 公 钥 目录 表 的 管理 机 构 注 册 自 己 的 公 钥 ， 也 可 以 随时 更 换 现 有 的 公 钥 ， 还 
可 以 通过 电子 方式 在 有 安全 认证 的 情况 下 访问 公 钥 目录 表 。 

应 当 注 意 的 是 ， 公 钥 目 录 表 可 能 会 被 攻击 者 伪造 、 监 听 、 攻 击 。 
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4) 公 钥 证 书 
公 钥 证 书 是 由 证 书 授权 中 心 或 认证 中 心 (Certificate Authority，CA ) 为 用 户 发 布 的 一 种 
电子 证 书 。 例如， 用 户 A 的 证 书 内 容 形式 为 
CA= Ex [T, IDA，PKA] 




















其 中 : 
@ IDA 是 用 户 A 的 标识 。 
@ PKA 是 A 的 公 钥 。 
@ 了 是 当前 时 间 戳 ， 用 于 表明 证 书 的 新 鲜 性 ， 防 止 发 送 方 或 攻击 者 重 发 一 个 旧 证 书 。 
@ SKcA 是 CA 的 私 钥 。 证 书 是 用 CA 的 私 钥 加 密 的 ， 以 便 让 任何 用 户 都 可 以 解密 ， 并 
确认 证 书 的 颁发 者 。 
当 一 方 要 与 另 一 方 建立 保密 信道 时 , 就 要 把 自己 的 证 书 发 给 对 方 。 接 收 方 用 CA 的 公 钥 
对 证 书 进行 查验 ， 可 以 获得 发 送 方 的 公 钥 。 接 收 方 同 意 进行 保密 通信 ， 也 要 将 自己 的 证 书 
发 送 给 对 方 。 这 样 ， 就 不 依赖 CA 而 直接 交换 了 公 钥 。 
2.1.6 流 密码 
1. 流 密码 概述 


如 前 所 述 ， 一 个 加 密 体系 的 安全 性 主要 系 于 密 钥 上 。 为 了 提高 安全 性 ， 人 们 曾经 致力 
于 选取 尽 可 能 长 的 密 钥 。 但 是 ， 长 密 钥 的 存储 和 分 配 都 很 困难 。 于 是 转 而 提倡 不 断 改 变 密 
钥 。 早 在 1949 年 ，Shannon 就 已 经 证 明 :“ 一 次 一 密 ” 的 密码 体制 是 绝对 安全 的 。 

流 密码 (stream cipher) 也 称 为 序列 密码 ， 就 是 在 “一 次 一 密 ” 的 追求 中 发 展 起 来 的 一 
种 密码 技术 。 那 么 ， 如 何 实现 “一 次 一 密 ” 呢 ? 人 们 可 以 从 随机 数 序列 的 产生 中 得 到 启发 。 
人 们 知道 ， 对 于 一 个 随机 数 发 生 器 ， 当 对 其 输入 不 同 的 随机 数 种 子 时 ， 就 会 生成 不 同 的 随 
机 数 序列 。 按 照 这 一 原理 ， 对 一 个 密 钥 流 发 生 器 输入 不 同 的 种 子 密 钥 ， 也 就 会 生成 不 同 的 
密 钥 序列 。 

流 密码 以 一 位 或 一 个 字 节 为 单位 ， 使 用 密 钥 流 中 的 随机 密 钥 对 明文 进行 加 密 。 例 如 ， 
密 钥 流 中 的 一 个 字 节 01001010 对 明文 流 中 的 一 个 字 节 10010011 进行 异 或 ， 就 可 得 到 密 文 
流 中 的 一 个 字 节 11011001。 同 样 ， 将 密 文 流 与 密 钥 流 异 或 ， 就 可 以 得 到 明文 流 。 显 然 这 是 
一 种 对 称 加 密 技术 。 

2. 同步 流 密码 与 自 同 步 流 密码 

在 流 密 码 技术 中 ， 如 果 密 钥 流 完 全 独立 于 明文 流 或 密 文 流 ， 则 称 这 种 流 密 码 为 同步 流 
密码 (synchronous stream cipher); 如 果 密 钥 流 的 产生 与 明文 流 或 密 文 流 有 关 ， 则 称 这 种 流 
密码 为 自 同步 流 密码 (selfEsynchronous stream cipher)。 图 2.9 为 同步 流 密 码 与 自 同步 流 密码 
示意 图 。 

所 谓 “ 同 步 ” 是 指 在 保密 通信 过 程 中 ， 通 信 的 双方 必须 保持 精确 的 同步 ， 接 收 方才 能 
正确 解密 。 如 果 通 信 过 程 中 丢失 或 增添 了 一 个 密 文字 符 ， 接 收 方 就 不 能 正确 解密 ， 直 到 同 
步 恢 复 。 这 种 现象 称 为 同步 密 钥 流 对 于 失 步 的 敏感 性 。 这 种 敏感 性 是 一 个 缺点 ， 但 也 带 来 
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单元 (位 或 字 节 ) 之 间 相 对 独立 ， 互 不 相关 ， 不 会 形成 错误 传播 。 
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(b) 自 同步 流 密码 


图 2.9 同步 流 密码 与 自 同步 流 密码 的 比较 


自 同步 流 密码 技术 是 让 每 一 个 加 密 单 元 〈 位 或 字 节 ) 的 密 钥 除了 依赖 于 种 子 密 铀 ， 还 
依赖 于 前 面 个 明文 〈 或 密 文 ) 加 密 单 元 。 采 用 这 种 密码 技术 ， 如 果 在 传输 中 丢失 或 更 改 
了 一 个 加 密 单元 ， 将 会 造成 这 一 错误 向 后 传播 半 个 加 密 单元 。 不 过 ， 在 收 到 个 正确 的 加 
密 单元 后 ， 密 钥 流 又 会 自动 同步 。 


3. 密 钥 流 发 生 器 


流 密码 的 安全 性 完全 取决 于 它 的 密 钥 流 发 生 器 所 产生 的 密 钥 流 的 特性 。 可 以 想象 ， 如 
果 一 个 密 钥 流 是 无 限 长 并 且 是 无 周期 性 的 真 随机 序列 ， 则 才 是 真正 的 “一 次 一 密 ” 的 密码 
体制 。 但 遗憾 的 是 ， 任 何人 为 地 产生 的 随机 序列 都 不 可 能 达到 这 样 的 条 件 要 求 。 人 工 只 能 
产生 伪 随 机 序列 : 长 度 有 限 。 但 是 人 工 产生 的 伪 随 机 序列 接近 真正 随机 序列 的 程度 有 所 不 
同 。 这 种 不 同性 ， 决 定 了 随机 序列 的 特性 。 

为 了 便于 把 握 ， 下 面 给 出 几 条 评价 密 钥 流 发 生 器 的 简单 标准 。 

(1) 所 产生 的 密 钥 序列 要 足够 长 。 

(2) 在 密 钥 流 中 ,0 和 1 的 出 现 频率 应 接近 ; 如 果 密 钥 流 是 字 节 流 ， 则 256 种 可 能 字 节 
的 出 现 频率 应 接近 。 

(3) 种 子 密 钥 也 应 有 足够 的 长 度 ， 最 少 不 能 小 于 128b。 

现在 人 们 已 经 开发 出 了 多 种 性 能 良好 的 密 钥 流 生成 器 ， 所 采用 的 方法 有 以 下 几 种 。 

@ 线性 反馈 移 位 寄存 器 (Linear Feedback Shift Register，LFSR ) 。 

@ 非 线 性 移 位 寄存 器 〈NLFSR )。 

@ 有 限 自动 机 。 

@ 线性 同 余 。 

@@ 混沌 密码 序列 等 。 

比较 有 名 和气 的 算法 是 RSA 数据 安全 公司 的 Ron Rivest 于 1987 年 基于 移 位 寄存 器 方法 
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设计 的 RC4。 它 是 一 种 同步 流 密码 。 
2.1.7 量子 加 密 


如 前 所 述 ， 现 代 加 密 体系 主要 有 对 称 加 密 体系 和 非 对 称 加 密 体系 两 种 。 在 长 期 的 不 断 
发 展 中 ， 这 两 个 系列 都 在 不 断 改进 、 推 陈 出 新 。 在 对 称 算法 中 ， 除 了 前 面 介绍 的 AES 外 ， 
先后 还 出 现 过 前 面 提 及 的 美国 的 DES 及 其 各 种 变种 Triple DES、GDES、New DES 和 DES 
的 前 身 Lucifer， 欧 洲 的 IDEA， 日 本 的 FEALN、LOKI91、Skipjack、RC4、RC5 以 及 以 代 
换 密码 和 转 轮 密码 为 代表 的 古典 密码 等 。 在 非 对 称 密码 算法 中 ， 除 了 前 面 介绍 的 RSA 外 ， 
还 出 现 了 背包 密码 、McEliece 密码 、Diffe Hellman、Rabin、OngFiatShamir、 零 知识 证 明 的 
算法 、 椭 圆 曲 线 、EIGamal 算法 等 。 在 长 期 的 应 用 中 ， 由 于 这 两 种 加 密 体系 各 自 的 优 缺 点 ， 
这 两 类 加 密 算法 是 被 合 起 来 形成 混合 加 密 体系 使 用 。 

但 是 ， 不 管 是 对 称 加 密 算法 ， 还 是 非 对 称 加 密 算法 ， 它 们 的 共同 特点 都 是 依赖 现 有 计 
算 能 力 不 足 来 保证 安全 的 一 一 实现 破解 的 时 间 往 往 要 远 长 于 密码 保护 信息 的 有 效 期 。 这 样 
的 条 件 限制 ， 使 它们 的 安全 性 随 着 计算 能 力 的 飞速 提高 日 益 降低 。 例 如 ，1975 年 由 IBM 公 
司 提出 ，1976 年 被 作为 数据 加 密 标准 的 56 位 DES 加 密 算法 ， 在 当时 的 运算 条 件 看 来 ， 破 
解 是 非常 困难 的 ， 儿 乎 是 不 可 能 的 。 可 是 以 现 有 运算 能 力 来 看 ， 只 需要 2 天 就 能 完全 破解 。 
再 如 ， 美 国政 府 目 前 应 用 最 广泛 的 、 由 美国 专门 制定 密码 算法 的 标准 机 构 一 一 美国 国家 标 
准 技术 研究 院 与 美国 国家 安全 局 设计 的 SHA-1 密码 算法 , 已 经 在 2005 年 初 被 中 国 山东 大 学 
王小云 教授 和 她 的 研究 小 组 宣布 成 功 破解 ， 为 此 ， 美 国 国家 标准 与 技术 研究 院 不 得 不 宣布 ， 
美国 政府 5 年 内 将 不 再 使 用 SHA-1 密码 算法 。 还 有 ， 以 现在 计算 能 力 认 为 需要 数 千 年 才能 
破解 的 RSA 加 密 体 系 ， 早 从 2000 年 8 月 就 开始 走 上 被 破解 之 路 。 因 为 ， 那 时 IBM 完成 了 
一 台 量 子 计算 机 的 研发 。 而 唯一 能 与 量子 计算 机 对 抗 的 只 有 一 种 技术 一 一 量子 加 密 技术 。 

1. 薛 定 谓 猫 和 杨 氏 双 孔 干涉 实验 

为 了 描述 量子 力学 的 真相 ，1935 年 奥地利 著名 物理 学 家 薛 定 协 提出 一 个 有 关 猫 既是 死 
的 又 是 活 的 著名 思想 实验 : 如 图 2.10 所 示 ， 在 这 个 实验 中 ， 把 一 只 猫 放 在 一 个 密封 的 盒 中 ， 
一 种 巧妙 设计 的 连锁 装置 把 放射 性 物质 和 一 个 装 有 剧 毒 氛 化 物 的 玻璃 小 瓶 联系 在 一 起 ， 当 
放射 性 样品 中 的 某 个 原子 发 生 了 衰变 时 ， 一 把 椰 头 就 会 落下 打破 瓶子 ， 把 盒子 里 面 的 猫 杀 




















图 2.10 苹 定 户 猫 


“130° 


死 。 现 在 的 情况 是 ， 假 设 下 一 分 钟 原子 发 生 衰变 的 可 能 性 是 不 确定 的 ， 概 率 各 是 50%。 现 
在 的 问题 是 ， 一 分 钟 之 后 这 个 猫 是 死 是 活 ? 

如 果 人 们 开启 盒子 ， 就 会 发 现 该 猫 非 死 即 生 。 但 是 在 此 之 前 ， 猫 的 量子 态 应 是 死 猎 状 
态 和 活 猫 状态 的 混合 。 也 就 说 处 于 活 猫 - 死 猫 量子 赤 加 态 中 。 因 此 ， 只 要 不 对 这 个 盒子 里 的 
猫 做 观测 ， 那 么 这 个 猫 就 永远 保持 不 死 不 活 的 状态 ， 而 对 这 个 盒子 中 的 猫 只 要 看 上 一 下 ， 
这 个 猫 的 死活 就 决定 了 ， 也 就 是 说 猫 的 不 死 不 活 状 态 就 不 存在 了 。 这 个 伴 廖 的 结果 就 是 ， 
对 于 猫 的 不 死 不 活 状 态 是 不 可 观测 的 ， 观 测 的 行为 本 身 就 破坏 了 这 个 状态 。 

这 是 一 个 微观 的 量子 态 的 宏观 描述 ， 实 际 上 ， 在 微观 尺度 上 ， 对 量子 的 观察 会 造成 不 
可 避免 的 干扰 ， 这 就 是 不 确定 原理 ， 即 粒子 的 某 些 特性 无 法 确定 ， 直 到 测量 外 力 迫 使 它们 
选择 。 或 者 说 ， 如 果 没 有 揭 开 盖子 ， 进 行 观察 ， 则 永远 也 不 知道 猫 是 死 是 活 ， 它 将 永远 处 
于 半死 不 活 一 一 既 死 又 活 的 倒 加 态 。 打 开 僵 子 ， 标 志 着 县 加 态 突然 结束 在 数学 术语 就 是 
“ 波 函 数 志 缩 (collapse)”)。 

与 苹 定 滑 猫 极为 相似 的 是 1801 年 托马斯 。 杨 进行 的 一 次 光学 实验 一 著名 的 杨 氏 双 孔 
干涉 实验 。 在 这 个 实验 中 ， 光 显示 出 波 粒 二 象 性 。 后 来 又 有 人 做 了 单 电子 双 颖 干涉 实验 ， 
在 一 张 纸 板 上 开 两 道 狭 颖 ， 然 后 在 纸板 后 架 上 光 屏 ， 用 一 个 仪器 发 射出 一 个 电子 ， 使 其 通 
过 狭 颖 。 按 照 正 常 思维 来 看 ， 电 子 可 能 通过 这 个 狭 颖 ， 也 可 能 通过 另 一 个 狭 乡 。 而 观测 显 
示 : 这 个 电子 在 两 道 狭 颖 后 都 形成 了 图 像 。 有 人 说 只 射出 一 个 电子 ， 也 会 产生 干涉 条 纹 ， 
这 是 德 布 罗 意 物质 波 的 相干 天 加 所 导致 的 必然 结果 。 

对 于 这 些 现 象 如 何 解释 呢 ? 1957 年 ， 埃 弗 雷 特 提 出 的 “多 世界 诠释 ”为 人 们 打开 了 一 
条 新 的 理论 通道 。 埃 弗 雷 特 认为 两 只 猫 都 是 真实 的 。 有 一 只 活 猫 ， 有 一 只 死 猫 ， 但 它们 位 
于 不 同 的 世界 中 。 格 利 宾 显 然 十 分 赞赏 这 一 诠释 ， 他 说 :“ 在 量子 的 多 世界 中 ， 我 们 通过 参 
与 而 选择 出 自己 的 道路 。 在 我 们 生活 的 这 个 世界 上 ， 没 有 隐 变 量 ， 上 帝 不 会 掷 仍 子 ， 一 切 
都 是 真实 的 。” 


2. 海 森 堡 测 不 准 原理 和 单 量子 不 可 复制 定理 


“ 海 森 堡 测 不 准 原理 ”是 量子 力学 的 基本 原理 ， 它 表明 ， 在 同一 时 刻 以 相同 的 精度 测定 
量子 的 位 置 与 动量 是 不 可 能 的 ， 只 能 精确 测定 两 者 之 一 。 因 为 测量 一 个 粒子 的 位 置 和 速度 ， 
其 办 法 是 将 光照 到 这 粒子 上 ， 一 部 分 光波 被 此 粒子 散射 开 ， 用 于 指明 它 的 位 置 。 人 们 不 可 
能 将 粒子 的 位 置 确定 到 到 光 的 两 个 波峰 之 间距 离 更 小 的 程度 ， 故 必须 用 短波 长 的 光 来 测量 ， 
至 少 要 用 一 个 光量 子 。 这 量子 会 扰动 这 粒子 ， 并 改变 粒子 的 速度 ， 而 且 位 置 测量 得 越 准确 
所 需 的 波长 就 越 短 ， 单 独 量 子 的 能 量 就 越 大 ， 粒 子 的 速度 就 被 扰动 得 越 历 害 ， 即 对 粒子 的 
位 置 测 量 得 越 准确 ， 对 速度 的 测量 就 越 不 准确 。 

“ 单 量子 不 可 复制 定理 ”是 “ 海 森 保 测 不 准 原理 ”的 推论 ， 它 表明 ， 在 不 知道 量子 状态 
的 情况 下 复制 单个 量子 是 不 可 能 的 ， 因 为 要 复制 单个 量子 就 只 能 先 作 测量 ， 而 测量 必然 改 
变量 子 的 状态 ， 所 以 说 不 可 能 。 可 利用 量子 的 这 些 特 性 来 解决 秘密 密 钥 分 发 的 难题 。 


3. 量子 加 密 的 基本 原理 
量子 加 密 技 术 是 构建 在 量子 不 确定 性 原理 上 的 。 其 工作 原理 如 下 : 使 用 量子 加 密 法 的 
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两 个 用 户 各 自 产生 一 个 私有 的 随机 数字 符 串 。 第 一 个 用 户 向 第 二 个 用 户 的 接收 装置 发 送 代 
表 数 字 字 符 串 的 单个 量子 序列 光 脉 冲 )， 接 收 装置 从 两 个 字符 串 中 取出 相 匹 配 的 比特 值 。 
这 些 比 特 值 就 组 成 了 密 钥 的 基础 。 

量子 加 密 法 的 先进 之 处 在 于 这 种 方法 依赖 量子 力学 定律 。 传 输 的 光量 子 是 无 法 进行 窍 
听 的 ， 量 子 要 么 被 接收 者 的 接收 机 接收 ， 要 么 被 窃听 者 接收 ， 因 为 ， 如 果 有 人 进行 窃听 ， 
窃听 动作 本 身 将 会 对 通信 系统 造成 干扰 ， 对 通信 系统 的 量子 状态 造成 不 可 挽回 的 变化 。 通 
信 双 方 就 会 得 知 有 人 进行 窃听 ， 从 而 结束 通信 ， 生 成 新 的 密 钥 。 


4. 量子 加 密 技 术 的 发 展 与 现状 


量子 加 密 概念 是 在 1970 年 由 美国 科学 家 威 斯 纳 首先 提出 的 。 当 时 的 想法 是 利用 单 量子 
态 制 造 不 可 伪造 的 “电子 钞票 ”。 但 这 个 设想 的 实现 需要 长 时 间 保 存单 量子 态 ， 不 太 现实 。 
因此 长 时 间 不 受 重视 。 直 到 1984 年 ， 第 一 个 量子 密码 术 方 案 (BB84) 被 提出 。 才 真正 迎 来 
了 量子 加 密 技 术 的 新 时 代 。 

1992 年 ， 一 种 新 的 更 简单 的 方案 (B92) 被 提出 ， 量 子 密码 技术 不 被 设计 用 于 传输 密 
文 ， 而 被 设计 用 于 传输 密 钥 。 根 据 量子 力学 的 不 确定 性 原理 以 及 量子 不 可 克隆 定理 ， 任 何 
窃听 者 的 存在 都 会 被 发 现 ， 从 而 保证 密 钥 的 绝对 安全 ， 也 就 保证 了 加 密 信息 的 绝对 安全 。 

最 初 的 量子 密码 通信 利用 的 都 是 光子 的 偏振 特性 ， 目 前 主流 的 实验 方案 则 用 光子 的 相 
位 特性 进行 编码 。 目 前 ， 在 量子 密码 术 实 验 研 究 上 进展 最 快 的 国家 为 英国 、 瑞 士 和 美国 。 
英国 国防 研究 部 于 1993 年 首先 在 光纤 中 实现 了 基于 BB84 方案 的 相位 编码 量子 密 钥 分 发 ， 
光纤 传输 长 度 为 10km。 

到 1995 年 ， 在 30km 长 的 光纤 传输 中 成 功 实现 了 量子 密 钥 分 发 。 与 偏振 编码 相 比 ， 相 
位 编码 的 好 处 是 对 光 的 偏振 态 要 求 不 那么 苛刻 。 在 长 距离 的 光纤 传输 中 ， 光 的 偏振 性 会 退 
化 ， 造 成 误 码 率 的 增加 。 

美国 洛斯 阿拉 莫 斯 国家 实验 室 以 B92 方案 成 功 地 在 长 达 48km 的 地 下 光线 中 传送 量子 
密 钥 ， 同 时 他 们 在 自由 空间 里 也 获得 了 成 功 。 

1999 年 ， 瑞 典 和 日 本 合作 ， 在 光纤 中 成 功 地 进行 了 40km 的 量子 密码 通信 实验 。 而 在 
中 国 ， 量 子 密码 通信 的 研究 刚刚 起 步 ， 中 科 院 物理 所 于 1995 年 以 BB84 方案 在 国内 首次 做 
了 演示 性 实验 ， 华 东 师 范 大 学 用 B92 方案 做 了 实验 ， 但 也 是 在 距离 较 短 的 自由 空间 里 进行 
的 。2000 年 ， 中 科 院 物理 所 与 研究 生 院 合作 ， 在 850nm 的 单 模 光纤 中 完成 了 1.1km 的 量子 
密码 通信 演示 性 实验 。2002 年 德国 慕尼黑 大 学 和 英国 军 方 下 属 的 研究 机 构 合 作 ， 在 德国 和 
奥地利 边境 的 楚 格 峰 和 卡尔 文 德尔 峰之 间 用 激光 成 功 传输 了 光子 密 钥 ， 传 输 的 距离 达到 
23.4km。 从 2003 年 开始 ， 位 于 日 内 瓦 的 id Quantique 公司 和 位 于 纽约 的 MagiQ 技术 公司 ， 
推出 了 传送 量子 密 钥 的 距离 超越 了 贝 内 特 实验 中 30cm 的 商业 产品 。IBM、 富 士 通 和 东芝 等 
企业 也 在 积极 进行 研发 。 市 面 上 的 产品 能 够 将 密 钥 通 过 光纤 传送 儿 十 千 米 。 

就 在 世界 各 国都 热衷 于 量子 加 密 的 研究 与 时 间 时 ， 瑞 典 林 雪 坪 大 学 (Linkoping 
University ) 信息 编码 学 系 教授 Jan-Ake Larsson 与 博士 生 Jonathan Jogenfors 在 研究 能 量 时间 
缠 结 技术 时 发 现 ， 如 果 使 用 传统 光源 取代 光子 ， 那 么 窃听 者 就 能 找到 密 钥 一 一 编码 字 串 。 
这 就 使 窍 听 者 能 顺利 读 取 资 料 ， 而 不 会 被 侦 测 到 。 这 说 明 已 经 成 为 许多 量子 加 密 系 统 基础 
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的 “能 量 -时 间 缠 结 ” 方 法 并 非 牢 不 可 破 ， 也 存在 着 易于 攻击 的 “漏洞 ”。 随 后 斯 德 哥 尔 摩 大 
学 〈Stockholm University) 的 物理 学 家 也 通过 实验 ， 证 实 光 源 完 全 可 能 被 更 换 掉 ， 造 成 数据 
可 能 被 窍 听 。 不 过 ， 人 们 也 乐观 地 认为 这 个 问题 是 可 以 解决 的 。 


2.1.8 ”信息 隐藏 
1. 数据 隐藏 及 其 处 理 过 程 


信息 隐藏 (information hiding) 是 指 隐蔽 数据 的 存在 性 ， 通 常 是 把 一 个 秘密 信息 (secret 
message) 隐藏 在 另 一 个 可 以 公开 的 信息 载体 (cover) 之 中 , 形成 新 的 隐秘 载体 (stego cover)。 
日 的 是 不 让 非法 者 知道 隐秘 载体 中 是 否 隐 藏 了 秘密 信息 ， 并 且 即 使 知道 也 难以 从 中 提取 或 
去 除 秘密 信息 。 

信息 隐藏 与 数据 加 密 都 是 用 来 保护 信息 机 密 性 的 手段 ， 并 且 信息 隐藏 技术 也 承袭 了 数 
据 加 密 的 一 些 基 本 思想 和 概念 ， 例 如 信息 隐藏 的 过 程 也 可 以 利用 密 钥 进行 控制 。 但 是 ， 信 
息 隐 藏 与 数据 加 密 所 采用 的 技术 手段 不 同 。 数 据 加 密 的 基本 方法 是 编码 ， 通 过 编码 将 明文 
变换 为 密 文 。 而 信息 隐 茂 是“ 隐藏” 使 非法 者 难以 找到 秘密 信息 。 一 般 多 用 多 媒体 数据 作 
为 载体 。 这 是 因为 多 媒体 数据 本 身 具 有 极 大 的 元 余 性 ， 具 有 较 大 的 掩蔽 效应 。 

图 2.11 表明 了 信息 的 隐藏 过 程 和 提取 过 程 。 




























































































| l 载体 C | -全 ~ 提取 算法 | 人 一 | 逆 预 处 理 | 世 
时 | 预 外 理 | 一 一 | 嵌入 算法 | 全 窗 钥 放 | | 载体 C 
(@ 信息 隐藏 过 程 (b) 信息 提取 过 各 
图 2.11 信息 的 隐藏 过 程 和 提取 过 程 
信息 隐藏 过 程 如 下 。 


(1) 对 原始 报 文 M 进 行 预 处 理 〈 如 加 密 、 压 缩 等 ) 形成 隐藏 报 文 M'。 

(2) 在 密 钥 Ki 的 控制 下 ， 通过 嵌入 算法 (embedding algorithm ) 将 隐藏 报 文 M' 隐藏 于 
公开 信息 载体 C 中 ， 形 成 隐秘 载体 5。 

信息 提取 过 程 如 下 。 

(1) 在 密 钥 Kz 的 控制 下 ， 使 用 提取 算法 从 隐秘 载体 5 中 提取 出 隐藏 报 文 M'。 

(2) 对 隐藏 报 文 M' 进行 解密 、 解 压 等 逆 预 处 理 ， 恢 复出 原来 的 报 文 M。 


2. 信息 隐藏 技术 分 类 
对 信息 隐藏 技术 可 以 进行 如 下 分 类 。 
1) 按照 载体 类 型 分 类 


按照 载体 类 型 可 将 信息 隐藏 技术 分 为 如 下 儿 类 。 
(1) 文本 载体 信息 隐藏 。 
(2) 图 像 载体 信息 隐藏 。 
(3) 声音 载体 信息 隐藏 。 
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(4) 视频 载体 信息 隐藏 。 

(5) 二 进 制 流 载体 隐藏 等 。 

2) 按照 控制 密 钥 分 类 

按照 控制 密 钥 可 将 信息 隐藏 技术 分 为 如 下 几 类 。 

(1) 对 称 隐藏 算法 。 

(2) 公 钥 隐藏 算法 。 

3) 按照 隐藏 位 置 分 类 

按照 隐藏 位 置 可 将 信息 隐藏 技术 分 为 如 下 几 类 。 

(1) 信道 隐藏 。 利 用 信道 固有 的 特性 进行 信息 隐藏 。 目 前 主要 有 两 类 : 基于 网 络 模型 
的 信息 隐藏 和 基于 扩 频 的 信息 隐藏 。 

(2) 空域 /时 域 信息 隐藏 。 利 用 待 隐藏 信息 位 替换 载体 中 的 一 些 最 不 重要 的 位 。 例 如 ， 
把 表示 一 个 像素 点 灰 度 的 数值 中 的 180 替换 为 181， 不 会 产生 太 大 影响 。 

(3) 变换 域 信息 隐藏 。 把 待 隐藏 信息 嵌入 到 载体 的 变换 空间 〈 如 频 域 ) 中 。 这 种 方法 
具有 分 布 性 、 可 变换 性 和 较 高 的 鲁 棒 性 。 


2.2.1 数据 完整 性 保护 与 消息 认证 


1. 数据 完整 性 保护 的 概念 


数据 的 完整 性 保护 是 针对 如 下 3 种 攻击 所 采取 的 措施 。 

(1) 内 容 算 改 《content modification)， 包 括 对 报 文 内 容 的 插入 、 删 除 、 改 变 等 。 
(2) 序列 算 改 (sequence modification)， 包 括 对 报 文 序列 的 插入 、 删 除 、 错 序 等 。 
(3) 时 间 算 改 〈timing modification)， 对 报 文 进行 延迟 或 回放 。 

也 就 是 说 ， 数 据 的 完整 性 包括 了 内 容 完 整 性 、 序 列 完整 性 和 时 间 完 整 性 。 


2. 消息 认证 的 概念 


消息 认证 (message authentication) 也 称 为 报 文 鉴 别 ， 是 用 于 验证 所 收 到 的 消息 确实 来 
自 真正 的 发 送 方 ， 并 未 被 算 改 ， 检 测 传输 和 存储 的 消息 〈 报 文 ) 有 无 受到 完整 性 攻击 的 手 
段 ， 包 括 消息 内 容 认证 、 消 息 的 序列 认证 和 操作 时 间 认 证 等 。 其 核心 是 消息 〈 报 文 ) 的 内 
容 认 证 。 消 息 的 序列 认证 的 一 般 办 法 是 给 发 送 的 报 文 加 一 个 序列 号 ， 接 收 方 通过 检查 序列 
号 来 鉴别 报 文 传送 的 序列 有 没有 被 破坏 。 消 息 的 操作 时 间 认 证 也 称 为 数据 的 实时 性 保护 ， 
通常 可 以 采用 时 间 戳 或 询问 -应 答 机 制 进行 确认 。 

从 功能 上 看 ， 一 个 消息 认证 系统 分 为 两 个 层次 : 低层 是 认证 函数 ， 上 层 是 认证 协议 。 
关于 认证 协议 在 后 面 讨论 ， 这 里 主要 讨论 认证 函数 。 认 证 函数 的 功能 是 能 够 由 报 文 产生 一 
个 鉴别 码 。 
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3. 鉴别 码 的 传递 与 用 法 


图 2.12 给 出 鉴别 码 的 4 种 传送 与 使 用 方法 。 图 中 的 已 为 鉴别 码 生 成 函数 ， 玫 MD 为 鉴别 
码 ， 天 为 对 称 加 密 密 铀 ，SK 和 PK 为 非 对 称 加 密 的 私 钥 和 公 和 钥 ，E 为 加 密 ，D 为 解密 。 






















































































































































































































































































可 以 看 出 ， 


















































(d) 传送 Ex[MIlEsks[AUOMNI] 
图 2.12 鉴别 码 的 4 种 传送 与 使 用 方法 
使 用 鉴别 码 可 以 在 接收 方 进行 报 文 是 否 受 到 内 容 完整 性 攻击 的 鉴别 依据 。 其 


中 ,图 2.12 (a) 和 图 2.12(d) 用 于 对 报 文 有 机 密 性 保护 的 场合 ， 图 2.12 (b) 和 图 2.12 (c) 





用 于 对 报 文 不 要 求 机 密 性 保护 的 场合 。 当 然 还 可 以 有 其 他 传送 与 使 用 方法 ， 这 里 不 再 介绍 。 


4. 鉴别 码 生成 函数 





进行 完整 性 保护 的 基本 思路 是 从 原来 的 报 文生 成 一 个 具有 唯一 性 的 鉴别 码 ， 并 且 传 递 


是 秘密 的 。 这 样 将 报 文 及 其 鉴别 码 一 同 传送 到 目的 方 后 ， 用 同样 的 方法 从 接收 的 报 文 再 生 


成 一 次 鉴别 码 ， 





由 于 鉴别 码 具 有 唯一 性 ， 比 较 两 个 鉴别 码 ， 就 能 证 实 报 文 在 传送 过 程 中 有 


没有 被 删除 、 插 入 或 修改 过 。 
按照 这 一 思路 ， 若 将 报 文 的 密 文 与 明文 一 同 传送 ， 接 收 方 再 从 明文 生成 一 次 密 文 ， 再 
对 两 个 密 文 进行 比较 ， 就 可 以 进行 报 文 的 完整 性 鉴别 。 但 是 ， 这 种 鉴别 码 太 长 ， 传 送 效 率 


太 低 。 





传统 的 元 余 校 验 码 也 可 以 看 作 是 一 种 简单 的 消息 认证 方法 。 但 它 主 要 用 于 防止 人 工 操 
作 或 传输 中 的 偶然 错误 。 若 用 于 对 付 攻 击 者 ， 就 勉 为 其 难 了 。 因 为 这 些 算法 比较 简单 而 且 
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是 公开 的 ， 技 术 熟 练 者 完全 可 以 成 功 地 绕 开 这 些 检测 。 

目前 广 为 采 用 的 生成 报 文 鉴 别 码 的 方法 主要 有 两 种 。 

(1) 基于 消息 认证 码 (Message Authentication Code，MAC) 的 方法 。MAC 也 称 为 密码 
校 验 和 , 是 使 用 一 个 由 密 钥 控制 的 鉴别 码 生 成 函数 基于 报 文 产生 的 固定 长 的 鉴别 码 。 图 2.13 
为 基于 MAC 的 消息 认证 过 程 ， 其 中 C 为 MAC 生成 函数 。 










































































图 2.13 基于 MAC 的 消息 认证 过 程 


(2) 基于 报 文 (消息 ) 摘要 (Message Digest，MD) 的 方法 。 报 文摘 要 也 称 为 单 向 杂 
凌 码 或 单 向 散 列 码 ， 是 将 报 文 使 用 单 向 杂凑 (hash， 也 译 为 哈 希 或 散 列 ) 函数 变换 成 为 具有 
固定 长 度 的 鉴别 码 。 它 具有 两 个 主要 特点 : 一 是 不 使 用 密 钥 ， 仅 仅 是 输入 消息 的 函数 ;二 
是 具有 错误 检测 能 力 ， 输 入 报 文中 任何 一 位 或 多 位 的 改变 都 会 导致 其 摘要 〔〈 散 列 码 ) 的 改 
变 。 图 2.14 为 将 一 个 报 文 M 利 用 杂凑 函数 万 得 到 MD 的 过 程 。 


M 








Hash functions were introduced in cryptology in the late seventies as a tool 
Se MD=H(M) 


to protect the authenticity of information. Soon it became clear that they 了 

were a very useful building block to solve other security problems in a 
telecommunication and computer networks. This paper sketches the history 

of the concept, diseusses the applications of hash functions, and preents the 


approaches that have been followed to construct hash functions. 


图 2.14 报 文 摘要 的 生成 




















2.2.2 ”MAC 函数 
1. MAC 函数 的 特点 


MAC 函数 是 消息 M 和 密 钥 K 的 函数 ， 即 MAC= C(M., K) 或 MAC = Cx(M)。 从 形式 上 
看 ，MAC 函数 与 对 称 加 密 函 数 极为 类 似 ， 都 需要 一 个 信 源 端 和 信 宿 端 共 享 的 密 钥 。 但 是 ， 
它们 又 有 本 质 上 的 区 别 。 

(1) 加 密 算法 要 求 可 逆 性 ， 而 MAC 算法 不 要 求 可 逆 性 。 

(2) 加 密 函 数 明文 长 度 与 密 文 长 度 一 般 相 同 ， 是 一 对 一 的 函数 ， 而 MAC 函数 则 是 多 对 
一 的 函数 ， 其 定义 域 由 任意 长 的 消息 组 成 ， 而 值 域 则 由 MAC 比特 的 比特 位 构成 。 若 报 文 长 
度 为 m 位 ，MAC 长 度 为 n 位 ， 则 有 2” 种 报 文 对 应 2” 种 MAC。 由 于 m >> n， 所 以 一 定 存 
在 不 同 的 报 文 产生 相同 的 MAC。 例如， 使 用 100b 的 报 文 和 10b 的 MAC， 则 有 21” 种 报 文 
对 应 20 种 MAC， 平 均 而 言 ，21%/21 = 2% 个 报 文具 有 相同 的 MAC。 

(3) MAC 函数 比 加 密 函数 更 不 容易 攻破 ， 因 为 即便 攻破 ， 也 无 法 验证 其 正确 性 。 


2. 安全 的 MAC 函数 应 具备 的 性 质 
一 个 安全 的 MAC 函数 应 具备 下 列 性 质 。 
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(1) 对 于 已 知 的 M 和 MAC， 要 找到 满足 MAC' =MAC 的 另 一 个 M', 在 计算 上 是 不 可 
能 的 。 

(2) Cx(M 应 当 是 均匀 分 布 的 ， 则 对 于 任何 随机 选择 的 报 文 M 和 M'， 找 到 Ck(M 7) = 
Cx(M) 的 概率 是 2”， 为 MAC 的 位 数 。 

(3) 若 MM' 是 MM 的 一 个 已 知 变 换 ， 则 找到 Ckx(M')= Ck(M) 的 概率 是 2 "。 

因此 ， 阁 只 有 收发 双方 才 知 道 密 钥 KK， 并 且 接 收 到 的 MAC 与 计算 出 的 MAC 相等 ， 则 
接收 方 可 以 相信 : 

(1) 接收 到 的 消息 未 被 修改 。 

(2) 接收 到 的 消息 来 自 真正 的 发 送 方 。 

(3) 如 果 消息 中 含有 序列 号 ， 则 消息 的 顺序 也 是 正确 的 。 


3. 安全 的 MAC 函数 对 密 钥 长 度 的 要 求 





安全 的 MAC 函数 要 求 密 钥 具 有 足够 的 长 度 。 这 样 可 以 使 得 攻击 者 用 穷 举 方法 确定 
MAC 密 钥 成 为 不 很 容易 的 事情 。 

从 MAC 认证 的 理论 上 看 ， 仅 需要 一 个 源 、 宿 共享 的 密 钥 。 但 这 种 情况 下 只 能 提供 认证 
而 不 能 提供 保密 性 保护 ， 因 为 报 文 是 以 明文 传送 的 。 若 将 MAC 附 在 报 文 后 面 对 整 个 报 文 进 
行 加 密 ， 则 既 可 提供 认证 又 可 提供 保密 。 但 这 需要 两 个 独立 的 密 钥 ， 并 要 被 源 、 宿 两 方 
共享 。 

4. CBC-MAC 


CBC-MAC 也 称 为 数据 认证 算法 ， 是 建立 在 DES 基础 上 ， 基 于 分 组 密码 ， 并 按照 密 文 
块 链接 (Cipher Block Chaining，CBC ) 模式 操作 的 MAC 构造 方法 之 一 ， 也 是 ANSI 的 一 个 
标准 ， 如 图 2.15 所 示 。 
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图 2.15 数据 认证 算法 


CBC 模式 的 基本 特点 如 下 。 

(1) 将 要 认证 的 数据 分 成 连续 的 64b 的 分 组 D1/、D，、…、Dw， 若 最 后 的 分 组 不 足 64b， 
在 其 后 加 0， 补 足 64b。 

(2) 每 个 分 组 在 用 密 钥 加 密 之 前 要 先 与 前 一 组 的 密 文 组 进行 异 或 运算 生成 其 加 密 过 程 
的 种 子 向 量 。 初 始 向 量 Oo 取 零 。 
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(3) 最 后 的 MAC 用 Ow 最 左边 M 位 表示 ， 并 且 16 乏 ME 和 64。 
2.2.3 ” 哈 希 函数 


哈 希 (Hash) 函数 也 称 为 散 列 函数 或 杂 读 函数 ， 它 能 把 任意 长 的 输入 消息 串 〈 又 称 为 
预 映 射 ，pre-image) 通过 哈 希 算法 变换 成 固定 长 度 的 输出 串 ， 该 输出 就 是 哈 希 值 。 简 单 地 
说 ， 哈 希 函数 就 是 一 种 将 任意 长 度 的 消息 压缩 到 某 一 固定 长 度 的 消息 摘要 的 函数 。 


1. 对 哈 希 函数 的 一 般 要 求 


报 文摘 要 就 像 是 需要 鉴别 的 数据 的 一 个 “指纹 ”。 为 了 实现 对 于 消息 的 鉴别 ， 哈 希 函 数 
应 具备 以 下 性 质 。 

(1) HO 可 应 用 于 任意 长 度 的 输入 数据 块 ， 产 生 固定 长 度 的 哈 希 值 。 

(2) 对 于 每 一 个 给 定 输入 数据 M， 计 算出 它 的 哈 希 值 h= HCM) 很 容易 。 

(3) 给 定 哈 希 值 %"， 倒 推出 输入 数据 M 在 计算 上 不 可 行 ， 即 单 向 性 。 

(4) 对 于 给 定 的 报 文 M 和 其 哈 希 值 h, 要 找到 另 一 个 M3zM 使 HM”)=H(M) 极 其 困难 ， 
即 弱 抗 碰撞 (collision〉 性 。 

(5) 找到 任何 满足 HCM)=H(M' ) 且 M#M 的 报 文 对 (M M ') 在 计算 上 是 不 可 行 的 ， 即 强 
抗 碰撞 性 。 

碰撞 性 是 指 对 于 两 个 不 同 的 报 文 ， 如 果 它 们 的 摘要 值 相同 ， 则 发 生 了 碰撞 。 

性 质 (1) 是 将 哈 希 函数 应 用 于 消息 认证 的 实际 需求 。 

性 质 (2) 和 (3) 是 单 向 性 ， 由 给 定 消息 产生 哈 希 值 很 简单 ， 而 给 定 哈 希 值 则 不 可 能 





产生 对 应 的 消息 。 
性 质 〈4) 保证 无 法 找到 一 个 奉 代 报 文 ， 使 它 的 哈 希 值 与 给 定 消息 产生 的 哈 希 值 相 同 ， 
能 防止 伪造 。 





性 质 (5) 指 的 是 哈 希 函数 对 已 知 的 生日 攻击 方法 的 防御 能 力 。 

哈 希 函数 并 不 提供 机 密 性 ， 并 且 它 们 不 使 用 密 钥 以 生成 摘要 。 哈 希 函 数 非常 适合 于 认 
证 和 确保 数据 的 完整 性 。 

例 2.7 设 报 文 有 m 组 分 组 ， 哈 希 码 C 的 长 度 为 n 位 ， 则 某 一 位 哈 希 码 C; 可 以 这 样 简 
单 地 计算 : 

Ci= Bn®B2®@*…@Bin 

当然 , 它 并 不 完全 满足 对 哈 希 函数 的 要 求 。 典型 的 报 文摘 要 算法 有 MD5 (Riverst 提出 ， 
1992 年 RFC 1321 公布 ， 码 长 128b) 和 安全 散 列 算法 SHA (Secure Hash Algorithm， 码 长 
160b)。 由 于 SHA 比 MD5 多 了 32b， 所 以 更 安全 ， 但 要 慢 些 。 


2. 报 文摘 要 算法 MDS 

MD5 是 沿 着 MD2、MD4 的 轨迹 进化 形成 的 报 文摘 要 算法 的 最 新 版 本 。 它 的 开发 者 是 
作为 RSA 算法 设计 者 之 一 的 Ronald L.Riverst。MD5 不 以 任何 假设 和 密码 体制 为 基础 ， 是 
一 个 直接 构造 出 来 的 算法 。 它 的 主要 特点 如 下 。 

(1) 单 向 性 由 报 文生 成 报 文摘 要 ， 但 不 能 由 报 文摘 要 还 原 为 报 文 。 
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(2) 无 碰撞 性 。 对 于 不 同 的 报 文 不 会 产生 两 个 相同 的 报 文摘 要 。 
(3) 运算 速度 快 ， 应 用 比较 普遍 。 
1) MD5 的 主要 应 用 


MD5 主要 应 用 在 如 下 两 个 方面 : 防 算 改 鉴别 和 加 密 。 

MD5 的 典型 应 用 是 对 一 段 报 文 产生 一 个 128b 的 报 文摘 要 。 例如 , 在 UNIX 下 有 很 多 软 
件 在 下 载 的 时 候 都 有 一 个 扩展 名 为 md5 的 文件 ， 在 这 个 文件 中 通常 只 有 一 行文 本 ， 大 致 结 
构 如 下 : 


MD5 (tanajiya.tar.gz) = 0cal75b9c0f726a831d895e269332461 


这 就 是 tanajiya.tar.gz 文件 的 数字 签名 。 如 果 在 以 后 传播 这 个 文件 的 过 程 中 ， 无 论文 件 
的 内 容 发 生 了 任何 形式 的 改变 (包括 人 为 修改 或 者 下 载 过 程 中 线路 不 稳定 引起 的 传输 错误 
等 )， 只 要 对 这 个 文件 重新 计算 MD5 值 就 会 发 现 报 文摘 要 不 相同 ， 由 此 可 以 确定 得 到 的 只 
是 一 个 不 正确 的 文件 ,如 果 再 有 一 个 第 三 方 的 鉴别 机 构 , 用 MD5 还 可 以 防止 文件 作者 的 “ 抵 
赖 ” 这 就 是 数字 签名 的 应 用 。 

在 加 密 系统 中 ， 密 码 的 保管 非常 重要 。 由 于 具有 系统 管理 员 权 限 的 用 户 可 以 读 密码 文 
件 ， 所 以 常规 保存 的 密码 文件 对 具有 系统 管理 员 权限 的 用 户 就 无 秘密 可 言 。 而 MD5 的 单 向 
性 和 无 碰撞 性 使 得 用 户 密码 可 以 用 MD5 (或 其 他 类 似 的 算法 ) 加 密 后 存储 。 当 用 户 登 录 的 
时 候 ， 系 统 把 用 户 输入 的 密码 计算 成 MD5 值 ， 然 后 再 去 和 保存 在 文件 系统 中 的 MD5 值 进 
行 比较 ， 进 而 确定 输入 的 密码 是 否 正确 。 这 样 ， 系 统 就 可 以 在 不 知道 用 户 密码 的 明码 的 情 
况 下 确定 用 户 登录 系统 的 合法 性 ， 不 但 可 以 避免 用 户 的 密码 被 知道 ， 而 且 还 在 一 定 程度 上 
增加 了 密码 被 破解 的 难度 。 

2) MD5 算法 描述 

MD5 算法 的 基本 轮廓 如 下 。 

(1) 以 512b 分 组 来 处 理 输入 的 报 文 。 

(2) 每 一 分 组 又 被 划分 为 16 个 32b 子 分 组 。 

(3) 经 过 了 一 系列 的 处 理 后 ， 输 出 4 个 32b 分 组 放 在 4 个 链接 变量 (chaining variable) 
或 称 寄 存 器 4、B、C、DD 中 。 

(4) 将 4 个 链接 变量 进行 级 联 ， 生 成 一 个 128b 的 哈 希 值 。 

上 述 轮廓 可 以 分 为 如 下 4 步 完成 。 

@ 数据 扩展 。 将 报 文 按照 图 2.16 的 格式 用 100…0 进行 填充 ， 并 附加 一 个 64b 的 原始 
报 文 长 度 字段 , 使 得 总 长 度 为 512b 的 整数 倍 。 应 当 注意 , 填充 是 必需 的 , 若 报 文 长 度 为 (512b 
的 整数 倍 -64b)， 则 还 需 填充 一 个 512b 长 度 的 填充 字段 。 

512b 的 整数 倍 
上 报 文 长 度 三 
| 报 文 | ”100…0 ”| 报 文 长 度 | 
图 2.16 ”数据 准备 格式 


@ 初始 化 MD 缓冲 区 。 使 它们 的 十 六 进 制 初始 值 分 别 为 




















“1139 


A=0x01234567, B= 0x89abcdef，C = 0xfedcba98， 刀 = 0x76543210 

@ 报 文 切 块 。 按 照 512b 的 长 度 ， 将 报 文 分 割 成 XN+ 1 个 分 组 : 和、 五 、…、YW。 每 一 
分 组 又 可 以 表示 为 16 个 32b 的 字 。 

@ 依次 对 各 分 组 进行 Hus 压缩 生成 MD5 值 。 如 图 2.17 所 示 ， 从 分 组 区 开始 到 最 后 
一 个 分 组 Yy， 依 次 进行 Huws 压缩 运算 。 每 个 Hyps 有 两 个 输入 一 个 128b 的 CV 和 一 个 
512b 的 分 组 Yy) 和 一 个 128b 输出 ， 最 开始 的 128b 输入 为 4 个 32b 的 链接 变量 ， 以 后 每 个 
Hwwps 的 输出 作为 下 一 个 128b 输入 。 最 后 一 个 128b 输出 即 所 求 的 MD5 值 。 显然 , 这 个 过 程 
可 以 用 循环 或 递归 实现 。 


512b 512b 512b 512b 


hh nn 多 到 时 yy 
512b 512b 512b 512b 
~ 128b 
Cv. Cv CV, cv Cv,, cv, 
4, B, C, De( Hyps 一 ( Hyps 2 9 ( Hyps | … Hups =| MD5 
128b 128b 128b 128b 128b 128b 


图 2.17 依次 对 各 分 组 进行 Hvws 压缩 生成 MD5 值 


Hups 算法 是 MD5 的 关键 函数 。 它 的 计算 由 4 轮 处 理 组 成 , 每 一 轮 又 包括 了 16 个 操作 ， 
总 共 64 次 操作 , 每 一 次 操作 要 使 用 一 个 常数 。 关 于 它 的 细节 这 里 不 再 介绍 。 需 要 说 明 的 是 ， 
MD5 曾经 被 人 们 认为 是 无 碰 接 的 。 但 是 ， 在 2004 年 8 月 17 日 在 美国 加 州 对 巴巴 拉 召 开 的 
国际 密码 学 会 议 〈Crypto”2004) 上 ， 我国 山东 大 学 教授 王小云 宣布 她 已 经 找到 了 使 MD5 
产生 碰撞 的 方法 。 但 是 ， 目 前 人 们 还 没有 找到 MD5 的 合适 的 代替 方案 。 


3. 安全 哈 希 算法 


安全 哈 希 算法 〈Secure Hash Algorithm，SHA) 是 由 NIST 和 NSA 开发 的 ， 于 1993 年 
作为 美国 联邦 信息 处 理 标 准 (FIPS PUB 180) 公布 ，1995 年 修订 为 FIPS PUB 181，1995 年 
修订 为 SHA-1。 另 外 还 有 4 种 变 体 曾经 发 布 ， 以 提升 输出 的 范围 和 变更 一 些 细微 设计 : 
SHA-224、SHA-256、SHA-384 和 SHA-512 〈 名 称 中 的 数字 代表 摘要 长 度 )。 

SHA 基于 MD4 算法 ，SHA 的 设计 很 近似 于 MD4 模型 。SHA 在 用 于 数字 签名 的 标准 
算法 (DSS ) 中 也 是 安全 性 很 高 的 一 个 哈 希 算法 。 该 算法 的 输入 为 小 于 264b 长 的 任意 消息 ， 
分 为 S12b 长 的 分 组 ， 输 出 为 160b 长 的 消息 摘要 。 因 为 它 能 产生 160b 的 哈 希 值 ， 所 以 ， 抗 
穷 举 攻击 能 力 更 强 。 

SHA 与 MD5 都 是 来 自 MD4, 所 以 它们 有 许多 相似 之 处 。 这 里 对 SHA 的 细节 不 进行 介 
绍 ， 仅 在 表 2.7 中 对 这 两 种 报 文摘 要 算法 进行 比较 。 

表 2.7 MDS5 与 SHA-1 的 比较 


算 法 摘要 长 度 b 最 大 报 文 长 度 分 组 处 理 长 度 /b 运算 次 数 常数 个 数 
MD5 128 无 限制 512 64 (4 轮 16 次 ) 64 
SHA-1 160 2“-1 512 80 (4 轮 20 次) 4 


总 之 ，SHA-1 比 MD5 抗击 穷 举 搜索 的 强度 高 ， 但 执行 速度 较 慢 。 
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实验 6 实现 报 文 认 证 算法 
1. 实验 目的 


(1) 加 深 对 报 文 认证 算法 的 理解 〈 如 哈 希 函 数 的 概念 及 密 钥 指纹 的 生成 方法 )。 
(2) 掌握 报 文 认 证 算法 的 应 用 方法 。 


2. 实验 内 容 


(1) 运行 一 种 报 文 认 证 算法 (MD5、SHA 等 ) 程序 。 

(2) 测试 运行 的 报 文 认证 算法 程序 。 

(3) 分 别 按照 下 面 的 一 种 模式 使 用 上 述 报 文 认证 算法 并 进行 比较 。 

@ 报 文 与 鉴别 码 链接 后 ， 用 单 钥 加 密 传送 。 

@ 仅 对 鉴别 码 用 单 钥 加 密 ， 然 后 再 与 被 认证 报 文 链接 传送 。 

@ 用 公 钥 加 密 算法 使 用 发 方 私 钥 仅 对 鉴别 码 加 密 ， 然 后 再 与 被 认证 报 文 链接 传送 。 

@ 用 公 钥 加 密 算法 使 用 发 方 私 钥 仅 对 鉴别 码 加 密 ， 与 被 认证 报 文 链接 ， 再 用 单 钥 加 密 
后 传送 。 

@ 将 报 文 与 通信 双方 共享 的 秘密 值 $ 连接 后 计算 鉴别 码 ， 附 加 到 被 认证 报 文 上 发 送 。 


3. 实验 准备 


(1) 可 根据 不 同 要 求 ， 选 择 进行 下 面 的 工作 之 一 。 

@ 下 载 一 种 报 文 认证 算法 的 程序 源 代码 ， 进 行 解析 。 

@ 自己 设计 实现 一 种 报 文 认 证 程序 。 

(2) 编译 、 调 试 上 述 程序 。 

(3) 设计 完成 实验 内 容 的 环境 和 步骤 。 

4. 推荐 的 分 析 讨 论 内 容 

(1) 你 知道 哪些 报 文 认证 算法 ? 试 进行 比较 。 

(2) 分 别 分 析 报 文 认证 算法 的 儿 种 不 同 使 用 模式 对 于 保证 数据 在 机 密 性 、 完 整 性 以 及 
在 防范 伪造 、 抵 赖 、 冒 充 、 算 改 风险 方面 的 作用 。 

(3) 这 种 认证 算法 安全 吗 ? 有 没有 看 到 关于 它 的 可 攻击 的 报道 ? 试 到 网 上 搜索 一 下 。 

(4) 其 他 发 现 或 想到 的 问题 。 


23 数字 签名 








2.3.1 数字 签名 及 其 特征 
在 日 常生 活 中 ， 为 了 确认 一 件 作品 及 其 源 出 处 ， 常 需要 采取 签名 、 落 款 、 骑 缝 章 等 手 
段 ， 以 便于 鉴别 。 在 数据 通信 过 程 中 ， 有 时 会 发 生 一 方 对 另 一 方 的 如 下 一 些 其 骗 行为 。 
(1) 否认 。 发 送 方 否认 自己 发 送 过 的 某 个 报 文 ， 或 接收 方 接收 一 个 报 文 后 ， 否 定 接收 过 。 
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(2) 冒充 。 发 送 方 冒充 第 三 方 给 接收 方 发 送 报 文 。 

(3) 伪造 。 某 一 方 自己 伪造 一 份 报 文 ， 却 声称 来 自 对 方 。 

(4) 算 改 。 接 收 方 收 到 一 份 报 文 后 进行 修改 ， 却 说 这 是 对 方 发 来 的 报 文 原样 。 

面 对 这 些 问题 ， 在 通信 双方 尚未 建立 起 信任 关系 且 存 在 利害 冲突 的 情况 下 ， 单 纯 的 报 
文 鉴别 是 无 能 为 力 的 。 为 此 不 得 不 采用 数字 签名 (digital signature )。 

在 ISO 7498-2 标准 中 ,数字 签名 定义 为 :“ 附 加 在 数据 单元 上 的 一 些 数 据 ， 或 是 对 数据 
单元 所 做 的 密码 变换 ， 这 种 数据 和 变换 允许 数据 单元 的 接收 者 用 于 确认 数据 单元 来 源 和 数 
据 单元 的 完整 性 ， 并 保护 数据 ， 防 止 被 人 《例如 接收 者 ) 进行 伪造 。” 

数字 签名 是 实现 数据 的 不 可 否认 性 保护 的 机 制 。 为 了 达到 这 一 目的 ， 它 应 当 具 有 与 手 
工 签名 一 样 的 性 质 。 

(1) 签名 是 可 信和 的 。 

(2) 签名 是 无 法 被 伪造 的 。 

(3) 签名 不 可 以 重复 使 用 。 

(4) 签名 以 后 不 可 以 被 算 改 。 

(5) 签名 具有 不 可 否认 性 。 

从 有 效 性 和 可 行 性 出 发 ， 对 数字 签名 技术 有 以 下 要 求 。 

(1) 签名 的 结果 必须 是 与 签名 的 报 文 相关 的 二 进 制 位 串 。 

(2) 签名 要 能 够 验证 签名 者 的 身份 以 及 签名 的 日 期 和 时 间 。 

(3) 签名 能 够 用 于 证 实 被 签 报 文 的 内 容 的 真实 性 。 

(4) 签名 的 产生 、 识 别 和 验证 应 比较 容易 。 

(5) 数字 签名 应 当 可 以 被 备份 。 

(6) 用 已 知 的 签名 构造 一 个 新 的 报 文 或 由 已 知 的 报 文 产生 一 个 假冒 的 签名 ， 在 计算 上 
都 是 不 可 行 的 。 

(7) 签名 可 以 由 第 三 方 验证 ， 以 解决 双方 在 通信 中 的 争议 。 


2.3.2 ”直接 数字 签名 


所 谓 直接 方式 ， 就 是 签名 过 程 只 有 发 送 方 和 接收 方 参与 。 实 施 这 种 方法 的 前 提 是 接收 
方 可 以 通过 某 种 方式 验证 发 送 方 提 交 的 凭证 ， 也 可 以 在 发 生 和 争议 时 将 该 凭证 交 第 三 方 仲裁 。 

那么 ， 用 什么 作为 直接 数字 签名 的 凭证 呢 ? 

好 像 对 称 密 钥 就 可 以 作为 数字 签名 中 的 凭证 。 可 以 设想 ， 如 果 发 送 方 A 和 接收 方 B 使 
用 只 有 双方 才 使 用 的 密 钥 , 那么 A 向 B 发 送 了 一 份 加 密 的 报 文 , B 就 可 以 断定 是 A 发 来 的 。 
因为 除了 A 和 B， 没 有 第 三 方 知道 这 个 密 钥 。 但 是 ， 由 于 A 和 B 都 知道 这 个 密 钥 ， 所 以 只 
能 抵御 冒充 ， 无 法 抵御 否认 、 算 改 和 伪造 。 

与 之 相 比 ， 非 对 称 密 钥 就 要 好 得 多 。 采 用 非 对 称 密 钥 ， 接 收 方 B 需要 知道 发 送 方 A 的 
私 钥 。 这样，A 用 自己 的 私 钥 将 报 文 加 密 ， 将 其 传送 到 B 后 ，B 用 A 的 公 钥 将 密 文 解密 。 
这 个 过 程 中 ，A 不 可 能 冒充 第 三 方 ， 也 无 法 否认 自己 的 发 送 ; B 也 无 法 算 改 和 伪造 。 

但 是 ， 非 对 称 密 钥 算法 的 效率 是 很 低 的 ， 不 宜 用 于 长 的 报 文 的 加 密 。 为 此 可 以 采用 鉴 
别 码 , 将 报 文 M 通过 一 个 单 向 哈 希 函数 生成 短 的 定 长 鉴别 码 , 将 认证 与 签名 结合 起 来 进行 。 
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直接 签名 后 的 报 文 有 可 能 被 接收 方 滥用 。 例 如 ，A 发 送 给 B 一 张 电 子 支票 ， 有 可 能 被 
B 多 次 复制 兑换 现金 。 如 果 A 在 报 文中 再 增加 一 种 特有 凭证 ， 如 时 间 蕉 (timestamp )， 就 可 
以 避免 这 种 情况 发 生 。 

另外 ， 直 接 签名 方法 将 一 种 算法 既 用 于 认证 又 用 于 签名 ， 使 签名 的 有 效 性 完全 依赖 于 
密 钥 体制 的 安全 性 ， 也 会 形成 一 些 漏洞 。 例 如 ， 发 送 方 会 声称 自己 的 密 钥 被 窃 或 被 盗用 ， 
来 否认 已 经 发 送 报 文 。 为 避免 这 样 的 威胁 ， 可 以 要 求 每 一 个 被 签名 的 报 文 都 要 包含 一 个 时 
间 戳 ， 标 明报 文 发 送 的 日 期 和 时 间 ， 同 时 要 求 一 旦 密 钥 丢 失 或 被 盗用 ， 要 立即 向 管理 机 构 
报告 并 更 换 密 钥 。 但 是 ， 若 密 钥 真正 被 盗 ， 盗 窃 者 可 以 伪造 一 个 报 文 ， 并 加 上 一 个 他 盗窃 
密 钥 之 前 的 时 间 戳 。 


2.3.3 ”有 仲裁 的 数字 签名 


有 仲裁 的 数字 签名 的 基本 思想 是 : 发 送 方 完成 签字 后 ， 不 是 直接 发 送 给 接收 方 ， 而 是 
将 报 文 和 签字 先 发 送 给 双方 共同 信任 的 第 三 方 进行 验证 ， 第 三 方 验证 无 误 后 ， 再 附加 一 个 
“已 经 通过 验证 ”的 说 明 并 注 上 日 期 ， 一 同 发 送 给 接收 方 。 由 于 第 三 方 的 介入 ， 发 送 方 和 接 
收 方 都 无 法 抵赖 。 

有 仲裁 的 数字 签名 方法 也 有 很 多 ， 下 面 仅 举 儿 例 。 假 定 报 文 由 XX 向 Y 传送 ，A 为 仲裁 
者 ，M 为 传输 报 文 ，H(M) 为 哈 希 函数 值 ，|| 为 链接 ，IDx 为 X 的 身份 码 ，7T 是 时间 蕉 ， 则 可 
以 有 如 下 几 种 方案 。 

1. 方案 1 

(1) X—A: MI| E 
为 X 和 A 的 共享 密 钥 。 

(2) A 一 Y: Ex [IDx 1| MI Ex [IDx1| HCMWD)] 7。A 对 签字 验证 后 ， 再 附加 上 时 间 崔 
T 并 用 A 和 YY 共享 的 密 钥 Ky 加 密 后 转发 给 Y。 

(3) Y 收 到 A 发 来 的 报 文 ， 解 密 后 ， 将 结果 保存 起 来 。 由 于 Y 不 知道 KxA， 所 以 不 能 
直接 检查 X 的 签字 ， 只 能 相信 和 A。 

当 出 现 争议 时 ，Y 可 以 声称 自己 收 到 的 M 来 自 X， 并 将 

Exksv[UDxlMIEk [IDx | HM TI 


[IDxl| HCM)]。X 将 签名 Ex、 [IDxl| UM)] 和 报 文 M 发 给 A。Kxa 


Kxa 


发 送 给 A， 让 A 仲裁 。 
这 个 方案 是 建立 在 X 和 YY 都 对 A 高 度 信任 的 基础 上 。 
(1) X 相信 A 不 会 泄露 KxA， 也 不 会 伪造 自己 的 签名 。 
(2) Y 相信 A 所 验证 X 的 签字 是 可 靠 的 。 
(3) X 和 YY 都 相信 出 现 争 议 时 A 能 公正 地 处 理 。 
所 以 会 得 到 如 下 结论 。 
(1) X 相 信 Y 立 无 法 对 收 到 的 报 文 予 以 否认 。 
(2) 立 相信 X 不 会 对 他 所 发 送 的 报 文 予以 否认 。 
但 是 ， 这 个 方案 未 提供 保密 性 ，X 传送 给 A 的 M 是 明文 形式 。 此 外 ， 方 案 本 身 没 有 对 
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仲裁 者 的 限制 机 制 ， 一 旦 仲裁 者 不 公正 ， 如 与 发 送 方 共 谋 否认 发 送 过 的 报 文 ， 或 与 接收 方 
连 手 伪造 发 送 方 的 签字 ， 都 会 形成 签字 的 漏洞 。 


2. 方案 2 


(1) X—A: IDxllEe [MI IlEx,, [Dx | H(Exr,, LA)]。 

(2) A>Y: Er, [Dx|Ex, [MI Ex IDxlE Ex [MD TI. 

这 个 方案 用 XX 和 YY 的 共享 密 钥 Kxy 加 密 所 传送 的 M， 从 而 提供 了 保密 性 。 但 还 没有 解 
决 对 仲裁 者 的 约束 。 

3. 方案 3 


(1) X—A: IDx|| Esxy [IDx|l Epk, [Esk、 [MI]]。 

(2) A 一 Y: Esx, [IDx|| Epxy [Esx, [MI] I T] 

在 这 个 方案 中 ,仲裁 者 只 能 用 X 的 公 钥 对 Ex、 [IDx | Epxy [Esx [MI]] 解密 ， 得 到 
IDx' 与 以 明文 形式 传送 来 的 IDx 进行 比较 ， 确 认 这 个 报 文 确实 来 自 X， 却 不 能 解密 
Evry [ Esk LU]。 Epky [ Esk [MI] 要 由 Y 才能 解密 。 因 为 Y 可 以 使 用 PKA 解密 Esk [IDx || 
Epky [ EBsx、 [MI] 1 刀 ， 进 一 步 用 SKy 解 密 Epx, [Esx、 [MI] 1， 再 用 PKx 解 密 Esx、 [MI。 这 
样 就 使 仲裁 方 无 法 与 任何 一 方 共 谋 。 

2.3.4 数字 签名 标准 DSA 

数字 签名 算法 (Digital Signature Algorithm，DSA) 是 美国 国家 标准 委员 会 (NIST) 公 
布 的 数字 签名 标准 (Digital Signature Standard，DSS )。DSA 最 早 公 布 于 1991 年 ， 在 征求 了 
公众 意见 后 在 1993 年 和 1996 年 又 发 布 了 两 次 修改 版 。 图 2.18 描述 了 DSA 签名 的 基本 
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图 2.18 DSA 签名 的 基本 过 程 


DSA 算法 的 签名 函数 以 以 下 参数 作为 输入 。 

(1) 用 SHA 方法 生成 的 报 文摘 要 。 

(2) 一 个 随机 数 。 

(3) 发 送 方 的 和 取 有 密 钥 SKA。 

(4) 全 局 公 钥 PK 一 一 供 所 有 用 户 使 用 的 一 族 参 数 。 

DSA 算法 输出 两 个 数据 : s 和 r。 这 两 个 输出 就 构成 了 对 报 文 M 的 数字 签名 。 
接收 方 收 到 报 文 后 ， 先 产生 出 报 文 的 摘要 ， 再 将 这 个 摘要 和 收 到 的 签名 以 及 全 局 公 钥 
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PKG、 发 送 方 的 公开 密 钥 PKA 一 起 送 到 DSA 的 验证 函数 中 ， 生 成 一 个 新 的 r'。 若 +' 与 + 相 
等 ， 就 说 明 签字 有 效 。 

DSA 算法 的 安全 性 不 再 依赖 于 加 密 密 钥 的 安全 性 。 同 时 ， 其 计算 基于 求 离散 对 数 的 困 
难 性 ， 使 攻击 者 从 + 恢复 n， 或 从 s 恢复 SKA 都 是 在 计算 上 不 可 行 的 。 所 以 ，DSA 比 采 用 
RSA 的 签名 方法 要 可 靠 得 多 。 

除 基 于 离散 对 数 的 签名 算法 外 ， 人 们 还 开发 了 其 他 一 些 签名 算法 。 关 于 它们 的 细节 ， 
这 里 不 再 介绍 。 


2.3.5 ”认证 协议 实例 一 一 SET 


安全 电子 交易 (Secure Electronic Transaction，SET) 协议 是 一 种 利用 加 密 技术 
Ccryptography)， 以 确保 信用 卡 消费 者 、 销 售 商 及 金融 机 构 在 Internet 上 从 事 电 子 交 易 的 安 
全 性 和 隐私 性 的 协议 。 它 是 由 两 大 信用 卡 公司 VISA 和 Master 在 GTE、IBM、Microsoft、 
Netscape、SAIC、Terisa System、Verisign 等 著名 IT 公司 的 支持 下 开发 的 , 于 1996 年 2 月 1 
日 正式 发 布 。 


1. 电子 支付 中 的 安全 需求 


支付 是 交易 的 重要 环节 。 由 于 电子 支付 的 虚拟 性 ， 它 的 安全 性 备 受 人 们 关注 ， 也 是 电 
子 商务 安全 最 重要 和 最 困难 的 环节 。 归 纳 起 来 ， 电 子 支付 主要 有 如 下 一 些 安全 需求 。 

(1) 确定 交易 过 程 中 交易 伙伴 的 真实 性 。 

(2) 保证 电子 单据 的 隐秘 性 ， 防 范 被 无 关 者 窃取 。 

(3) 保证 业务 单据 不 丢失 ， 即 使 丢失 也 可 察觉 。 

(4) 验证 电子 单据 内 容 的 完整 性 。 

(5) 验证 电子 单据 内 容 的 真实 性 。 

(6) 具有 防 抵赖 性 和 可 仲裁 性 。 

(7) 保证 存储 的 交易 信息 的 安全 性 。 


2. SET 的 目标 


SET 的 主要 目标 如 下 。 

(1) 保证 数据 在 Internet 上 安全 传输 ， 不 被 窃取 。 

(2) 保证 数据 的 完整 性 ， 即 保证 数据 在 传输 过 程 中 不 被 自 改 。 

(3) 订单 信息 与 账号 信息 相隔 离 ， 在 将 包括 消费 者 账号 信息 的 订单 送 给 商家 时 ， 商 家 
应 只 看 到 订货 信息 ， 而 看 不 到 消费 者 账号 信息 。 

(4) 参与 各 方 可 以 互相 认证 ， 不 仅 消费 者 与 商家 可 以 互相 认证 (一 般 由 第 三 方 提 供 信 
担保 )， 消 费 者 、 商 家 和 银行 之 间 也 能 够 相互 认证 。 

(5) 采用 统一 的 协议 和 数据 格式 ， 使 不 同 厂家 开发 的 软件 具有 兼容 性 和 互 操作 性 ， 并 
可 以 运行 在 不 同 的 硬件 和 操作 系统 平台 上 。 
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3. SET 的 参与 角色 


一 个 SET 交易 过 程 可 能 会 涉及 如 下 6 种 角色 。 

(1) 持 卡 者 (cardholder)， 即 消费 者 ， 必 须 具备 如 下 条 件 。 

@ 持 有 发 卡 机 构 支 付 卡 账号 。 

@ 持 有 认证 机 构 颁发 的 身份 证 书 。 

@ 能 够 上 网 ， 可 以 使 用 支付 卡 结算 。 

(2) 商家 (merchant)， 即 经 营 者 ， 是 商品 或 服务 的 提供 者 ， 必 须 具 备 如 下 条 件 。 

@ 拥有 网 上 经 营 许可 权 。 

@ 持 有 银行 委托 授权 机 构 〈 认 证 中 心 、CA) 颁发 的 数字 证 书 。 

@ 具有 的 电子 商务 平台 能 处 理 消费 者 申请 ， 与 支付 网 关 通 信 ， 存 储 自身 公 钥 签名 ， 存 
储 自己 的 公 钥 交换 私 钥 ， 存 储 交 易 参 与 方 的 公 钥 交换 私 铀 ， 申 请 和 接受 认证 ， 与 后 台数 据 
库 通 信 等 。 

(3) 银行 (acquirer): 给 在 线 交 易 参与 者 建立 账号 ， 并 处 理 支 付 卡 的 认证 和 支付 业务 。 

(4) 发 卡 机 构 (issuer): 为 每 一 个 建立 了 账户 的 客户 颁发 支付 卡 ， 也 可 以 由 指派 的 第 三 

(5) 支付 网 关 (payment gateway ): 将 Internet 上 的 传输 数据 转换 为 金融 机 构 内 部 数据 ， 
并 实现 商家 和 持 卡 人 的 身份 验证 。 

支付 网 关 必须 具有 如 下 条 件 。 

@ 银行 授权 。 

@ CA 颁发 的 数字 证 书 。 

(6) SET 认证 中 心 : 为 了 使 交易 参加 方 有 一 个 可 信 的 第 三 方 ， 建 立 了 一 个 认证 中 心 
(CA) 来 为 消费 者 、 商 家 和 银行 颁发 数字 证 书 ， 分 配 密 钥 。 

SET 认证 中 心 采用 层次 结构 。 其 最 高 层 CA〈 即 Root CA) 的 安全 维系 着 整个 SET 协议 
的 安全 。 为 了 防止 Root CA 遭 破解 ，SET 将 其 密 钥 长 度 定 为 2048b， 比 一 般 用 户 的 密 钥 长 度 
1024b 长 一 倍 。 


4. SET 的 安全 保障 作用 


(1) 基于 持 卡 人 的 安全 保障 包括 以 下 儿 方 面 。 
QD 对 账号 数据 保密 。 

@ 对 交易 数据 保密 。 

@ 持 卡 人 对 商家 的 认证 。 

(2) 基于 商家 的 安全 保障 包括 以 下 儿 方 面 。 
Q 对 交易 数据 完整 性 的 认证 。 

@ 对 持 卡 人 账户 数据 的 认证 。 

@ 对 持 卡 人 的 认证 。 

@ 对 银行 端的 认证 。 

@ 对 交易 数据 保密 。 
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@ 提供 交易 数据 的 佐证 。 

(3) 基于 银行 支付 网 关 ) 的 安全 保障 包括 以 下 几 个 方面 。 

Q@ 对 消费 者 账号 数据 的 认证 。 

@ 对 交易 数据 的 间接 认证 。 

@ 对 交易 数据 完整 性 的 认证 。 

@ 提供 交易 数据 的 佐证 。 

S. 电子 商务 中 的 B to C 交易 过 程 

交易 指 买卖 双方 之 间 进 行商 品 交 易 的 行为 。 广 义 的 交易 是 一 个 复杂 的 过 程 。 在 电子 商 
务 中 ， 由 于 参与 方 不 同等 原因 ， 会 形成 不 同 的 交易 过 程 ， 如 B to B (Business to Business， 
企业 间 电 子 商务 ， 也 缩写 为 B2B) 的 交易 过 程 、B to C (Business to Consumer， 企 业 对 消费 
者 的 电子 商务 ， 也 缩写 为 B2C) 的 交易 过 程 等 。 下 面 主要 介绍 B to C 的 交易 过 程 。 

图 2.19 为 BtoC 的 基本 交易 过 程 。 它 可 以 被 分 为 如 下 4 种 业务 7 个 步骤 。 
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图 2.19 BtoC 的 基本 交易 过 程 


CiY 证 贫 。 

@: 消费 者 上 网 ， 查 看 企业 和 商家 网 页 ， 选择 商品 ; 消费 者 通过 对 话 框 填写 订货 单 ( 姓 
名 、 地 址 、 品 种 、 规 格 、 数 量 和 价格 ) 并 提交 给 商家 。 

(2) 支付 。 

@: 商家 核对 消费 者 订货 单 后 ， 向 用 户 发 出 付款 通知 ， 同 时 向 银行 发 出 转账 请 求 。 

@: 消费 者 选择 支付 方式 ， 如 向 发 卡 机 构 提交 支付 卡 。 

(3) 转账 。 

@: 发 卡 机 构 验证 消费 者 的 支付 卡 后 ， 将 卡号 加 密 传 向 银行 〈 支 付 网 关 )。 银 行 审查 消 
费 者 支付 卡 有效、 款额 等 ) 合格 后 ， 进 行 转账 。 

@: 转账 成 功 ， 向 商家 和 发 卡 机 构 发 出 转账 成 功 回执 。 

@: 发 卡 机 构 向 消费 者 发 出 支付 收据 。 

(4) 付 货 。 

@: 商家 向 消费 者 交 货 。 
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6. SET 关键 技术 之 一 一 一 数字 信封 


数字 信封 是 为 了 解决 密 钥 传送 的 安全 而 产生 的 技术 。 图 2.20 是 用 数字 信封 传递 对 称 密 
钥 的 过 程 。 这 个 对 称 密 钥 由 发 送 方 随机 产生 。 
接收 方 公 钥 接收 方 私 钥 


i 信 疗 aaa CRs 
图 2.20 用 数字 信封 传递 对 称 密 钥 的 过 程 

实际 上 ， 这 个 信封 的 制作 非常 简单 ， 就 是 用 接收 方 的 公 钥 对 要 传送 的 信息 〈 这 里 是 对 
称 密 钥 ) 进行 加 密 。 打 开 信封 的 方法 是 用 接收 方 的 私 钥 进 行 解密 。 

7. SET 关键 技术 之 二 一 一 双重 签名 

SET 有 一 个 基本 性 能 : 不 需要 让 与 有 关 角 色 无 关 的 其 他 角色 知道 的 机 密 ， 就 不 让 它 知 
道 ， 例 如 : 

@ 只 与 持 卡 人 和 商家 之 间 的 交易 有 关 的 机 密 数据 〈 如 订单 信息 OI )， 不 必要 也 不 可 以 




















让 银行 知道 。 
@ 持 卡 人 的 账户 数据 也 是 持 卡 人 的 个 人 秘密 数据 (如 付款 指示 PI)， 不 必要 也 不 可 以 
让 商家 知道 。 


但 是 ， 在 这 种 情况 下 ， 还 要 让 商家 和 银行 都 可 以 确定 这 些 数据 确实 是 由 持 卡 人 产生 和 
送出 的 ， 可 以 间接 或 直接 地 对 这 些 数据 进行 认证 。 这 一 性 能 在 SET 中 使 用 双重 签名 (dual 
signature) 技巧 实现 。 双 重 签名 的 基本 过 程 如 图 2.21 所 示 ， 具 体 实现 时 略 有 所 不 同 。 下 面 介 
绍 两 种 方案 。 
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图 2.21 持 卡 人 进行 的 双重 签名 过 程 


1) 方案 1 

设 Sig(x) 是 一 个 基于 RSA 的 多 项 式 时间 函 数 ， 可 以 产生 对 x 的 有 效 签名 。 
(1) 持 卡 人 C) 的 操作 如 下 。 

@ 产生 订货 信息 OI 和 账号 信息 PT， 生成 两 个 摘要 Hc(OD 和 成 (PD。 
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@ 双重 签名 : 将 Hc(OD 和 Hc(PD) 连 接 ， 形 成 OP(OI+PD)， 再 生成 一 个 摘要 Hc(Hc(OD | 
Hc(PD))， 并 对 其 用 私 钥 进 行 签名 得 到 Csig(Hc(Hc(OD || Hc(PD))。 

@ 发 给 商家 : OI、Hc(PD) 和 Csig(Hc(Hc(OD | Hc(PD))。 

@ 发 给 支付 网 关 : PI、Hc(OD 和 Csig(Hc(Hc(OD || Hc(PD)))。 

(2) 商家 (M) 收 到 信息 后 的 操作 如 下 。 

@ 利用 收 到 的 OI， 生 成 摘要 HM(OT)。 

@ 将 Hu(OD 与 He(PD 合 起 来 生成 摘要 Hw(HM(OD) || He( PI))。 

@ 用 万 w(Hm(OD), Hc( PI )) 对 Csig(Hc(Hc(OD) || Hc(PID))) 进 行 验证 , 以 确认 信息 发 送 者 的 
身份 和 信息 是 否 被 修改 过 。 

(3) 支付 网 关 (P) 收 到 信息 后 的 操作 如 下 。 

@ 利用 收 到 的 PI， 生 成 摘要 三 (PD。 

@ 将 Hc(OD 与 Hp(PD 合 起 来 生成 摘要 Hp(Hc(O1) || HP(PTD))。 

@ 用 Hp(Hc(OD, Hp(PI)) 对 Csig(Hc(Hc(OD || Hc(PD)) 进 行 验证 ,以 确认 信息 发 送 者 的 身 
份 和 信息 是 否 被 修改 过 。 

2) 方案 2 

(1) 持 卡 人 C) 的 操作 如 下 。 

@ 生成 OI、 PI、H(O1D)、H(PI)、Csig(H(O1))、Csig(H(H(OD || H(PD))). 

@ 将 Csig(H(OD))、Csig(HU(H(OD | H(PI)))、H(PI) 和 01 传送 给 商家 。 

@ 将 PI 和 H(OJ) 传 给 支付 网 关 (银行 )。 

(2) 商家 (M) 操作 如 下 。 

@ 用 C 的 公 钥 验证 Csig(H(H(OT) | H(PD)))、Csig(H(OT)) 和 AH(PI)， 确 定 是 否 持 卡 者 的 
签名 。 

@ 用 自己 的 私 钥 生 成 对 交易 数据 的 签名 Msig(H(OD))。 

@ 将 Msig(H(O1)) 和 Csig(H(H(OD | OPD)) 一 同 送 支 付 网 关 〈 银 行 )。 

(3) 支付 网 关 (P) 操作 。 

@ 验证 Msig(H(OD))， 确 定 成 OD 为 交易 数据 的 哈 希 值 。 

@ 用 已 知 的 PI 和 (OI)， 验 证 Csig(H(HU(OT) || H(PD))) 的 正确 性 ， 确 认 交 易 数据 和 账户 
数据 都 是 正确 的 。 

@ 根据 政策 ， 确 认 此 笔 交易 是 否 成 功 。 

图 2.22 为 SET 交易 过 程 。 它 用 双重 签名 解决 了 三 方 参加 电子 贸易 中 的 安全 通信 问题 。 











实验 7 加 密 软件 PGP 的 使 用 
1. 实验 说 明 


PGP (Pretty Good Privacy) 是 一 个 基于 RSA 公 钥 的 邮件 加 密 软 件 ， 也 是 一 个 与 Linux 
齐名 的 优秀 自由 软件 。 其 最 早 的 版 本 是 由 美国 的 Philip R. Zimmermann 开发 的 ， 并 于 1991 
年 在 Internet 上 免费 发 布 。 为 了 打破 美国 政府 对 于 软件 出 口 的 限制 , PGP 的 国际 版 在 美国 境 
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持 卡 人 商家 支付 网 关 
















































































交易 请 求 
Exm, [TID] 产生 交易 识别 数据 TID 
和 
验证 TID EkcglOH, Excag [OUPY, 
产生 双重 签名 Csig(H(OD), 
Csig(H(H(ODIA(PD)) 


















































验证 Csig(H(OD) Msig(H(OD), 
重新 对 OI 产生 哈 希 值 和 签名 Csig(H(H(ODIH(PD)) 
险 证 Msig(H(OD) 
确认 OI 和 PI 正确 
Expg [Authdata] 确定 交易 是 否 成 功 
确定 交易 成 功 
Ca 产生 交易 完成 信息 TID 




















图 2.22 SET 交易 过 程 
注 ，Authdata 为 授权 数据 。 


外 开发 ， 并 带 一 个 i 以 区 别 。 任 何人 都 可 以 从 挪威 的 网 站 www.pgpi.com 上 下 载 到 最 新 的 版 
本 ， 大 小 约 为 7.8MB。 

PGP 采用 了 审慎 的 密 钥 管理 ， 是 一 种 RSA 和 传统 加 密 的 杂 合 算法 ， 用 于 数字 签名 的 邮 
件 文摘 算法 以 及 加 密 前 压缩 等 ， 还 有 一 个 良好 的 人 机 工程 设计 。 它 可 以 让 任何 人 安全 地 和 
他 从 未 见 过 的 人 们 通信 ， 并 且 事 先 不 需要 任何 保密 的 渠道 用 来 传递 密 钥 。 同 时 它 的 功能 强 
大 ， 有 很 快 的 速度 ， 源 代码 还 是 免费 的 。 

PGP 对 每 次 会 话 的 报 文 进行 加 密 后 传输 ， 它 采用 的 加 密 算法 包括 AES-256、AES-192、 
AES-128、CAST、3DES、IDEA 和 Twofish 等 。 例 如 ， 使 用 AES 密 钥 最 长 可 达 256b， 这 已 
经 足够 安全 了 。 

当 发 送 者 用 PGP 加 密 一段 明 文 时 , PGP 首先 压缩 明文 , 然后 建立 一 个 一 次 性 会 话 密 钥 ， 
采用 传统 的 对 称 加 密 算法 (例如 AES 等 ) 加 密 刚 才 压 缩 后 的 明文 ， 产 生 密 文 。 然 后 用 接收 
者 的 公开 密 钥 加 密 刚才 的 一 次 性 会 话 密 钥 ， 随 同 密 文 一 同 传输 给 接收 方 。 接 收 方 首先 用 私 
有 密 钥 解密 ， 获 得 一 次 性 会 话 密 钥 ， 最 后 用 这 个 密 钥 解 密 密 文 。 

目前 , PGP 使 用 的 哈 希 函数 包括 SHA-2 (256b)、SHA-2 (384b)、SHA-2 (512b)、SHA-1 
(160b)、RIPEMD (128b)、MD5 (128b) 等 。 

PGP 在 签名 之 后 、 加 密 之 前 对 报 文 进行 压缩 。 它 使 用 了 由 Jean-loup Gailly、Mark Adler、 
Richard Wales 等 编写 的 ZIP 压缩 算法 。 

在 PGP 里 面 最 有 特色 的 或 许 就 是 它 的 密 钥 管理 。 PGP 包含 4 种 密 钥 : 一 次 性 会 话 密 钥 、 
公开 密 钥 、 私 有 密 钥 和 基于 口令 短语 的 常规 密 钥 。 

用 户 使 用 PGP 时 ， 应 该 首先 生成 一 个 公开 密 钥 /私有 密 钥 对 。 其 中 公开 密 钥 可 以 公开 ， 
而 私有 密 钥 绝对 不 能 公开 。PGP 将 公开 密 钥 和 私有 密 钥 用 两 个 文件 存储 ， 一 个 用 来 存储 该 
户 的 公开 /私有 密 钥 ， 称 为 私有 密 钥 环 ， 另 一 个 用 来 存储 其 他 用 户 的 公开 密 钥 ， 称 为 公开 
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密 钥 环 。 

为 了 确保 只 有 该 用 户 可 以 访问 私有 密 钥 环 ，PGP 采用 了 比较 简洁 和 有 效 的 算法 。 当 用 
户 使 用 RSA 生成 一 个 新 的 公开 /私有 密 钥 对 时 ， 输 入 一 个 口令 短语 ， 然 后 使 用 哈 希 算 法 〈 例 
如 SHA-1) 生成 该 口令 的 哈 希 编码 , 将 其 作为 密 钥 , 采用 CAST-128 等 常规 加 密 算法 对 私有 
密 钥 加 密 ， 存 储 在 私有 密 钥 环 中 。 当 用 户 访问 私有 密 钥 时 ， 必 须 提 供 相应 的 口令 短语 ， 然 
后 PGP 根据 口令 短语 获得 哈 希 编码 ， 将 其 作为 密 铀 ， 对 加 密 的 私有 密 钥 解密 。 通 过 这 种 方 
式 ， 就 保证 了 系统 的 安全 性 依赖 于 口令 的 安全 性 。 


2. 实验 目的 


(1) 掌握 PGP 的 下 载 、 安 装 和 使 用 方法 。 
(2) 进一步 加 深 对 于 数据 加 密 和 数据 认证 理论 的 理解 。 


3. 实验 内 容 


(1) 下 载 并 安装 PGP。 

(2) 使 用 PGP 生成 并 管理 密 钥 。 

(3) 使 用 PGP 对 文件 进行 加 密 / 解 密 。 

(4) 使 用 PGP 对 文件 进行 签名 和 认证 。 

(5) 使 用 PGP 销毁 加 密 文件 。 

4. 实验 准备 

(1) 准备 一 个 实验 用 的 数据 文件 。 

(2) 事先 浏览 可 以 下 载 PGP 软件 的 网 站 ， 了 解 可 以 下 载 的 最 新 PGP 版 本 及 其 特点 。 
(3) 写 出 实验 的 详细 步 又 。 

(4) 确定 下 载 软件 需要 的 运行 环境 。 

5. 推荐 的 分 析 讨论 内 容 

(1) 你 认为 PGP 安全 的 最 大 威胁 在 什么 地 方 ? 
(2) 加 密 文件 的 销毁 要 注意 什么 ? 

(3) 其 他 发 现 或 想到 的 问题 。 





习题 
一 、 选 择 是 


1. 假设 使 用 一 种 加 密 算 法 ， 它 的 加 密 方法 很 简单 :将 每 一 个 字母 加 5， 即 a 加 密 成 f。 这 种 算法 的 密 钥 
就 是 5， 那 么 它 属于 _。 
A. 对 称 加 密 技术 B. 分 组 密码 技术 
C. 公 钥 加 密 技术 D. 单 向 函数 密码 技术 
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2. “公开 密 钥 密码 体制 ”的 含义 是 


A. 将 所 有 密 钥 公 开 B. 将 私有 密 钥 公 开 ， 公 开 密 钥 保密 
C. 将 公开 密 钥 公 开 ， 私 有 密 钥 保密 D. 两 个 密 钥 相同 
3.A 方 有 一 对 密 钥 ( KA、, Kawy ), B 方 有 一 对 密 钥 ( KB、, KB )，A 方 向 B 方 发 送 数字 签名 MX, 对 信息 M 
加 密 为 M'=Ke,、 (Kass (MD))。B 方 收 到 密 文 的 解密 方案 是 _。 
A. Kas (Ka (M')) B. Ka (Kas (M')) 
C. Ka (Key (M')) D. Ku (Kay COM) 
4. 使 用 数字 签名 技术 ， 在 发 送 端 是 采用 对 要 发 送 的 信息 进行 数字 签名 。 
A. 发 送 者 的 公 钥 B. 发 送 者 的 私 钥 
C. 接收 者 的 公 钥 D. 接收 者 的 私 钥 
5. 使 用 数字 签名 技术 ， 在 接收 端 采用 进行 签名 验证 。 
A. 发 送 者 的 公 钥 B. 发 送 者 的 私 钥 
C. 接收 者 的 公 钥 D. 接收 者 的 私 钥 
6. 数字 签名 要 预先 使 用 单 向 哈 希 函数 进行 处 理 的 原因 是 


A. 多 一 道 加 密 工序 使 密 文 更 难 破译 
B. 提高 密 文 的 计算 速度 
C. 缩小 签名 密 文 的 长 度 ， 加 快 数字 签名 和 验证 签名 的 运算 速度 
D. 保证 密 文 能 正确 还 原 成 明文 
7. 设 哈 希 函数 了 有 128 个 可 能 的 输出 〈 即 输出 长 度 为 128b)， 如 果 五 的 个 随机 输入 中 至 少 有 两 
个 产生 相同 输出 的 概率 大 于 0.5， 则 大 约 等 于 
EE 本 C2 D. 2 
二 、 填 空 题 
1. 密码 系统 包括 以 下 4 个 方面 : 和 
pp 是 加 密 算法 E 的 逆 运 算 。 
3. 如 果 加 密 密 钥 和 解密 密 钥 相同 ， 这 种 密码 体制 称 为 体制 。 
4. 算法 的 安全 是 基于 分 解 两 个 大 素数 的 积 的 困难 。 
5. 公开 密 钥 加 密 算法 的 用 途 主要 包括 两 个 方面 : 和 
6. 密 钥 管 理 的 主要 内 容 包 括 密 钥 的 
和 
7. 密 钥 生成 形式 有 两 种 ， 一 种 是 由 ， 另 一 种 是 由 
8. 密 钥 的 分 配 是 指 产 生 并 使 获得 密 钥 的 过 程 。 
9. 密 钥 分 配 中 心 的 英文 缩写 是 
10. 消息 认证 是 验证 ， 即 验证 数据 在 传送 和 存储 过 程 中 是 否 被 算 改 、 重 放 或 延迟 等 。 
1 是 笔迹 签名 的 模拟 ， 是 一 种 包括 防止 源 点 或 终点 否认 的 认证 技术 。 
i 是 实现 交易 安全 的 核心 技术 之 一 ， 它 的 实现 基础 就 是 加 密 技术 ， 能 够 实现 电子 文档 的 辨 
认 和 验证 。 
13. MAC 函 数 类 似 于 加 密 ， 它 与 加 密 的 区 别 是 其 
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14. 


如 
(1 


是 可 接受 变 长 数据 输入 ， 并 生成 定 长 数据 输出 的 函数 。 


三 、 问 答题 


有 明文 can you understand 。 
) 假定 有 一 个 密 钥 ， 其 顺序 为 2，4，3，1 的 列 换 位 密码 ， 其 换 位 密 文 是 什么 ? 


(2) 设 密 钥 是 i= 1,2, 3, 4 的 一 个 置换 7G )= 1,3, 4,2， 则 周期 为 4 的 换 位 密 文 是 什么 ? 

2. 设 P= blue sky and green tree， 密 钥 K=data， 则 采用 维 吉 尼 亚 密 码 的 加 密 字母 是 什么 ? ASCII 编 码 
输出 为 什么 ? 

3. 比较 两 种 密 钥 体制 的 优 缺 点 。 

4. 解释 AES 解 密 算法 。 

5. 编写 程序 ， 实 现 AES 加 密 算法 。 

6. 具有 N 个 节点 的 网 络 如 果 使 用 公开 密 钥 密码 算法 ， 每 个 节点 的 密 钥 有 多 少 ? 网 络 中 的 密 钥 共有 
多 少 ? 

7. 在 非 对 称 密码 体制 中 ， 第 三 方 如 何 断 定 通信 者 有 无 抵赖 或 伪造 行为 ? 

8. 设 通信 双方 使 用 RSA 加 密 体制 ， 接 收 方 的 公开 密 钥 是 (e, m)=(5, 35)， 求 明文 M= 30 对 应 的 密 文 。 

9. 在 使 用 RSA 公 钥 的 通信 中 ， 若 截取 了 发 送 给 其 他 用 户 的 密 文 C=10， 并 且 用 户 的 公 钥 为 (e, n= 
(5, 35)， 求 对 应 的 明文 。 

10. 什么 是 序列 密码 和 分 组 密码 ? 
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简 述 通信 双方 如 何 使 用 密 钥 体制 建立 通信 中 的 信任 关系 。 

. 有 哪些 建立 公开 密 钥 体制 的 方法 ? 

. 常规 加 密 密 钥 的 分 配 有 儿 种 方案 ? 请 对 比 它们 的 优 缺 点 。 

. 如何 利 用 公开 密 钥 加 密 进行 单 钥 加 密 密 钥 的 分 配 ? 

. 什么 是 无 碰撞 单 向 哈 希 函数 ? 

. 单 钥 加 密 体制 的 密 钥 分 配 有 哪儿 种 方法 ? 分 别 有 什 么 优 缺 点 ? 

. 假定 两 个 用 户 A、B 分 别 与 密 钥 分 配 中 心 KDC (Key Distribution Center) 有 一 个 共享 的 主 密 钥 KA 


和 KBs，A 和 希望 与 B 建 立 一 个 共享 的 一 次 性 会 话 密 钥 ， 需 要 完成 哪些 步骤 ? 


. 什么 是 密 钥 的 分 层 控制 ? 这 种 方法 有 什么 优点 ? 

. 无 中 心 的 密 钥 分 配 时 ， 两 个 用 户 A 和 B 建 立会 话 密 钥 需 经 过 哪儿 步 ? 
. 单 钥 体制 中 的 密 钥 控 制 技术 是 什么 ? 

. 公 钥 管理 机 构 向 用 户 A、B 分 配 公 钥 共有 哪儿 步 ? 

. 请 自己 设计 一 个 密 钥 生成 算法 ， 并 验证 其 密 钥 空 间 的 安全 性 。 
. 在 密 钥 的 生存 期 间 内 ， 如 何 对 密 钥 进行 有 效 的 管理 ? 

. 销毁 被 撤销 的 密 钥 时 应 注意 些 什么 ? 

. KDC 在 密 钥 分 配 过 程 中 充当 何 种 角色 ? 

. 简 述 信息 隐藏 的 基本 嵌入 和 检测 过 程 。 

. 简 述 数字 水 印 的 定义 和 内 容 。 

. 简 述 数字 隐藏 技术 中 隐 含 的 信任 关系 。 

. 收集 国内 外 有 关 加 密 或 信息 隐藏 技术 的 最 新 动态 。 
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30. 分 析 消 息 认 证 码 可 能 遭受 的 攻击 。 

31. 数字 签名 有 什么 作用 ? 

32. 描述 报 文 鉴别 码 和 哈 希 码 的 区 别 。 

33. 简 述 数字 签名 的 用 途 和 基本 流程 。 

34. 什么 是 数字 签名 ? 什么 是 消息 认证 ? 

35. 美国 数字 签名 标准 方案 具体 内 容 是 什么 ? 

36. 要 将 明文 M 由 Al 并 附 有 Al、Az、…、Ai、…、Aw 的 依次 签名 发 往 B。 设 PKA 和 SKA 分 别 为 
Ai 的 公开 密 钥 和 私有 密 钥 ,在 签名 时 要 求 每 一 位 签名 者 只 验证 其 前 一 位 签名 者 的 签名 ; 如 果 验 证 通过 ， 则 
在 此 基础 上 加 上 自己 的 签名 ， 和 否则 终止 签名 ;最 后 一 位 签名 者 在 签名 完成 后 将 最 终 信息 和 签名 一 起 发 送出 
去 。 每 一 位 签名 者 都 可 以 推算 出 前 一 位 签名 者 和 后 一 位 签名 者 并 且 知道 他 们 的 公开 密 钥 。 试 设计 该 多 人 签 
名 算法 。 

37. 查阅 相关 资料 ， 比 较 各 种 数字 签名 算法 的 优 缺 点 。 

38. 可 信 第 三 方 有 些 什 么 作用 ? 

39. 简 述 一 个 成 功 的 SET 交易 的 标准 流程 。 

40. 电子 支付 中 有 哪些 安全 需求 ? 

41. SET 〈 安 全 电子 交易 ) 中 有 哪些 关键 技术 ? 
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第 3 章 身份 认证 与 访问 控制 


信息 系统 中 的 一 切 活 动 都 是 由 访问 行为 所 引起 的 。 为 了 系统 的 安全 ， 需 要 对 访问 进行 
管制 约束 。 访问 涉及 两 个 方面 : 主体 (通常 指 用 户 ) 和 客体 (也 称 为 资源 ， 即 数据 )。 身 份 
认证 (identity authentication ) 是 指 对 于 主体 合法 性 的 认证 ; 访问 控制 (access control ) 是 指 
对 于 主体 的 访问 行为 进行 授权 (authorization ) 的 过 程 。 

如 果 认 为 一 个 信息 系统 有 一 个 入 口 ， 则 身份 认证 就 是 在 信息 系统 的 入 口 进 行 的 身份 检 
查 ; 而 访问 控制 则 规定 访问 者 进入 系统 以 后 可 以 对 哪些 资源 分 别 进行 什么 样 的 访问 操作 。 
两 者 之 间 的 关系 如 图 3.1 所 示 。 


ee -RE | 起 
Ca LN 碍 本 
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图 3.1 用 户 对 资源 访问 的 过 程 
3.1 基于 凭证 比 对 的 身份 认证 


身份 认证 是 信息 系统 安全 的 第 一 道 屏障 ， 用 于 检验 主体 身份 的 合法 性 ， 用 它 控制 哪些 
用 户 能 够 登录 到 系统 (服务 器 ) 并 获取 系统 资源 ， 控 制 准许 用 户 进入 的 时 间 和 准许 他 们 在 
哪 台 计 算 机 上 访问 。 

最 基本 的 身份 认证 是 需要 用 户 提 供 能 代表 身份 的 凭证 与 系统 中 存储 的 凭证 进行 比 对 。 
用 于 比 对 的 身份 凭证 可 分 为 下 列 3 种 。 

(1) 用 户 所 知道 的 秘密 ， 如 口令 〈password)、 个 人 识别 号 (PIN) 和 密 钥 等 。 

(2) 用 户 所 拥有 的 信物 ， 如 信用 卡 、IC 卡 、USB Key、 印 章 和 证 件 等 。 

(3) 用 户 自身 的 特征 ， 如 笔迹 、 步 态 、 声 音 、 指 纹 、 虹 膜 纹 和 层 纹 等 。 

身份 认证 可 以 是 一 方 对 另 一 方 的 认证 ， 也 可 以 是 双方 的 互相 认证 。 前 者 称 为 单 向 认证 ， 
后 者 称 为 双向 认证 。 
3.1.1 生物 特征 身份 认证 


生物 特征 身份 凭证 一 般 采 用 用 户 固 有 的 生物 特征 和 行为 特征 ， 要 求 这 些 具有 唯一 性 和 
永久 性 。 下 面 介绍 几 种 主要 的 生物 身份 凭证 及 其 验证 方法 。 


1. 指纹 


指纹 是 历史 最 为 悠久 的 生物 身份 凭证 。 据 著名 指纹 专家 刘 持 平 先生 论证 ， 早 在 7000 年 
前 我 们 的 祖先 就 开始 进行 指纹 识别 的 研究 。 到 了 春秋 战国 时 代 ， 手 印 检验 不 仅 广泛 应 用 于 
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政府 和 民间 的 书信 与 邮件 往来 之 中 ， 并 已 经 开始 用 于 侦 讯 破案 之 中 。 

指纹 是 一 种 十 分 精细 的 拓扑 图 形 。 如 图 3.2 所 示 , 一 枚 指纹 不 足 方寸 , 上面 密布 着 100 一 
120 个 特征 细节 ， 这 么 多 的 特征 参数 组 合 的 数量 达到 
640 亿 种 (英国 学 者 高 尔 顿 提出 的 数字 )。 并 且 由 于 它 
从 胎儿 4 个 月 时 生成 后 保持 终生 不 变 ， 因 此 ， 用 它 作 
为 人 的 唯一 标识 ， 是 非常 可 靠 的 。 

指纹 识别 主要 涉及 4 个 过 程 : 读 取 指纹 图 像 、 提 
取 指 纹 特征 、 保 存 数据 和 比 对 。 目 前 已 经 开发 出 计算 
机 指纹 识别 系统 ， 可 以 比较 精确 地 进行 指纹 的 自动 


识别 。 
2. 虹膜 
虹膜 是 位 于 眼睛 黑色 瞳孔 与 白色 巩膜 之 间 的 环形 部 分 ( 见 图 3.3 (a))。 它 在 总 体 上 呈 
由 里 向 外 的 放射 状 结构 〈 见 图 3.3(b))， 并 包含 许多 相互 交错 的 类 似 斑点 、 细 丝 、 冠 状 、 
条 纹 、 隐 窝 等 形状 的 细微 特征 。 这 些 细微 特征 信息 也 被 称 为 虹膜 的 纹理 信息 ， 主 要 由 胚胎 
发 育 环境 的 差异 决定 ， 因 此 对 每 个 人 都 具有 唯一 性 、 稳 定性 和 非 侵 犯 性 。 








图 3.2 指纹 的 细节 特征 








(a) 虹膜 位 置 (b) 虹膜 结构 
图 3.3 眼睛 与 虹膜 


虹膜 识别 系统 主要 由 虹膜 图 像 采集 装置 、 活 体 虹 膜 检 测算 法 、 特 征 提 取 和 匹配 几 个 模 
块 组 成 。 

3. 面 像 

采用 面 像 作 为 身份 凭证 的 识别 系统 包括 两 个 技术 环节 : 面 像 检 测 和 面 像 识别 。 

1) 面 像 检 测 

面 像 检测 主要 实现 面 像 的 检测 和 定位 ， 即 从 输入 图 像 中 找到 面 像 及 面 像 的 位 置 ， 并 将 
人 脸 从 背景 中 分 割 出 来 。 现 有 的 面 像 检测 方法 可 以 分 为 3 类 。 

(1) 基于 规则 的 面 像 检测 : 总结 了 特定 条 件 下 可 用 于 检测 面 像 的 知识 (如 脸型 、 肤 色 
等 )， 并 把 这 些 知识 归纳 成 指导 面 像 检测 的 规则 。 

(2) 基于 模板 匹配 的 面 像 检测 : 首先 构造 具有 代表 性 的 面 像 模板 ， 通 过 相关 匹配 或 其 
他 相似 性 度量 检测 面 像 。 
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(3) 基于 统计 学 习 的 面 像 检测 : 主要 利用 面部 特征 点 结构 灰 度 分 布 的 共同 性 来 检测 
面 像 。 

2) 面 像 识 别 

面 像 识 别 由 两 个 过 程 组 成 。 

(1) 面 像 样本 训练 : 提取 面 像 特 征 ， 形 成 面 像 特 征 库 。 

(2) 识别 : 用 训练 好 的 分 类 器 将 待 识 别 面 像 的 特征 同 特征 库 中 的 特征 进行 匹配 ， 输 出 
识别 结果 。 

4. 声 纹 

声 纹 鉴定 是 以 人 耳 听 辨 的 声 纹 为 基础 ， 不 仅 关 注 发 音 人 的 语音 频谱 等 因素 ， 还 充分 挖 
据说 话 人 语音 流 中 的 各 种 特色 性 事件 和 表征 性 特点 ， 如 由 方言 背景 确定 的 地 域 性 ， 发 音 部 
位 变化 、 内 容 以 及 发 音速 度 和 强度 确定 的 发 音 人 的 年 龄 、 性 格 和 心态 等 。 

在 计算 机 处 理 时 ， 常 常 将 人 类 声 纹 特征 分 为 3 个 层次 。 

(1) 声 道 声学 层次 : 在 分 析 短 时 信号 的 基础 上 ， 抽 取 对 通道 、 时 间 等 因素 的 不 敏感 特征 。 

(2) 韵律 特征 层次 : 抽取 独立 于 声学 、 声 道 等 因素 的 超 音 段 特征 ， 如 方言 、 韵 律 和 语 
速 等 。 

(3) 语言 结构 层次 : 通过 对 语音 信号 的 识别 ， 获 取 更 加 全 面 和 结构 化 的 语义 信息 。 

声 纹 识别 系统 主要 包括 两 部 分 。 

(1) 特征 提取 : 选取 唯一 表现 说 话 人 身份 的 有 效 且 可 靠 的 特征 。 

(2) 模式 匹配 : 对 训练 和 识别 时 的 特征 模式 进行 相似 性 匹配 。 

但 是 ， 目 前 还 没有 证 实 它 的 唯一 性 。 

S. 其 他 

其 他 可 用 于 身份 识别 的 生物 特征 还 有 步 态 、 笔 迹 、 得 名、 颅骨 外 形 、 视 网 膜 、 层 纹 、 
DNA、 按 键 特 征 、 耳 条 轮廓 、 体 温 图 谱 、 掌 形 和 是 迹 等 。 
3.1.2 静态 口令 

口令 通常 是 作为 用 户 账号 补充 部 分 向 系统 提交 的 身份 凭证 。 一 般 说 来 ， 用 户 账号 是 公 
开 的 。 当 用 户 向 系统 提交 了 账号 以 后 ， 还 需要 提交 保密 形式 的 凭证 一 一 口令 ， 供 系统 鉴别 
用 户 的 真实 性 ， 以 防止 非法 使 用 用 户 账 号 登录 。 所 以 ， 用 户 只 有 向 系统 输入 口令 ， 通 过 了 
系统 的 验证 后 ， 才 能 获得 相应 的 权限 。 

口令 是 使 用 度 最 高 的 一 类 身份 认证 ， 它 简单 、 易 用 ， 效 率 很 高 ， 但 它 也 是 极为 脆弱 、 
容易 攻击 的 认证 方式 。 

1. 口令 失 密 及 其 对 策 

口令 是 较 弱 的 安全 机 制 。 从 责任 的 角度 看 ， 用 户 和 系统 管理 员 都 对 口令 的 失 密 负 有 责 
任 ， 或 者 说 用 户 和 系统 管理 员 两 方 都 有 可 能 造成 口令 失 密 。 从 失 密 的 途径 看 ， 有 众多 的 环 
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节 可 以 造成 口令 失 密 ， 或 者 说 ， 攻 击 者 可 以 从 下 面 一 些 途 径 进行 口令 攻击 。 

(1) 猜测 和 发 现 口令 。 

@ 常用 数据 猜测 ， 如 家 庭 成 员 或 朋友 的 名 字 、 生 日 、 球 队 名 称 、 城 市 名 、 身 份 证 号 码 、 
电话 号 码 和 邮政 编码 等 。 

@ 字典 攻击 : 按照 字典 序 进行 穷 举 攻击 。 

@ 其 他 ， 如 望远镜 帘 视 等 。 

(2) 电子 监控 。 

在 网 络 或 电子 系统 中 ， 被 电子 嗅 探 器 和 监控 器 窃取 。 

(3) 访问 口令 文件 。 

@ 在 口令 文件 没有 强 有 力 保护 的 情形 下 ， 下 载 口令 文件 。 

@ 在 口令 文件 有 保护 的 情况 下 ， 进 行 蛮 力 攻击 。 

(4) 通过 社交 。 

如 通过 亲情 、 收 买 或 引诱 ， 获 取 别 人 的 口令 。 

(5) 垃圾 搜索 。 

收集 被 攻击 者 的 遗弃 物 ， 从 中 搜索 被 疏忽 丢掉 的 写 有 口令 的 纸 片 或 保存 有 口令 的 盘 片 。 

(6) 用 蠕虫 记录 用 户 输入 的 口令 。 

里 虫 可 以 根据 用 户 按键 的 位 置 记 录用 户 输入 的 口令 。 


2. 口令 的 安全 保护 














口令 一 旦 失 密 或 被 破解 ， 该 用 户 的 账号 就 不 再 受到 保护 ， 攻 击 者 就 可 以 大 摇 大 摆 地 进 
入 系统 。 因 此 ， 口 令 的 保护 是 用 户 和 系统 管理 员 都 必须 重视 的 工作 。 下 面 从 几 个 方面 考虑 
口令 的 安全 。 

1) 正确 选取 选取 口令 字 

选取 口令 应 遵循 以 下 原则 。 

(1) 扩大 口令 的 字符 空间 。 口 令 字 符 空间 越 大 ， 穷 举 攻 击 的 难度 就 越 大 。 一 般 地 ， 不 
要 仅 限 于 使 用 26 个 大 写字 母 ， 可 以 扩大 到 小 写字 母 、 数 字 等 计算 机 可 以 接受 的 字符 空间 。 

(2) 选择 长 口令 。 口 令 越 长 ， 破 解 需要 的 时 间 就 越 长 ， 一 般 应 使 口令 位 数 大 于 6 位 。 

(3) 使 用 随机 产生 的 口令 ， 避 免 使 用 弱 口 令 〈 有 规律 的 口令 )》 和 容易 被 猜测 的 口令 ， 
如 家 庭 成 员 或 朋友 的 名 字 、 生 日 、 球 队 名称 和 城市 名 等 。 

(4) 使 用 多 个 口令 ， 在 不 同 的 地 方 不 要 使 用 相同 的 口令 。 

2) 正确 地 使 用 口令 

(1) 缩短 口令 的 有 效 期 。 口 令 要 经 常 更 换 ， 最 好 使 用 动态 的 一 次 性 口令 。 

(2) 限制 口令 的 使 用 次 数 。 

(3) 限制 登录 时 间 ， 如 属于 工作 关系 的 登录 ， 把 登录 时 间 限 制 在 上 班 时 间 内 。 
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3) 安全 地 保存 指令 

口令 的 存储 不 仅 是 为 了 备 忘 ， 更 重要 的 是 系统 要 在 检测 用 户口 令 时 进行 比 对 。 直 接 明 
文 存储 口令 〈 写 在 纸 上 或 直接 明文 存储 在 文件 或 数据 库 中 ) 最 容易 泄密 。 较 好 的 方法 是 将 
每 一 个 用 户 的 系统 存储 账号 和 哈 希 值 存储 在 一 个 口令 文件 中 。 当 用 户 登 录 时 ， 输 入 口令 后 ， 
系统 计算 口令 的 哈 希 码 ， 并 与 口令 文件 中 的 哈 希 值 比 对 ， 若 相等 ， 则 允许 登录 ， 和 否则 拒绝 
登录 。 

4) 口令 审计 


系统 管理 员 除 对 用 户 账户 要 按照 权限 等 加 以 控制 外 ， 还 要 对 口令 的 使 用 在 以 下 几 个 方 
面 进 行 审计 。 

(1) 最 小 口令 长 度 。 

(2) 强制 修改 口令 的 时 间 间 隔 。 

(3) 口令 的 唯一 性 。 

(4) 口令 过 期 失效 后 允许 入 网 的 宽 限 次 数 。 如 果 在 规定 的 次 数 内 输入 不 了 正确 口令 ， 则 
认为 是 非法 用 户 的 入 侵 ， 应 给 出 报警 信息 。 四 

5) 增加 口令 认证 的 信息 量 

密码 : Fr ] (必须 8 位 

例如 ， 在 认证 过 程 中 ， 随 机 地 提问 一 些 与 该 i 
用 户 有 关 ， 并 且 只 有 该 用 户 才能 回答 的 问题 。 ee 

Wns en) ay wm 

软 键盘 是 一 种 显示 在 屏幕 上 的 键盘 ， 可 供用 “| 贺 圆 回国 辐 国 圆 回国 芽 二 辐 
户 用 鼠标 选择 单 击 进行 输入 。 如 图 3.4 所 示 , 软 键 ”” 国 国 回 回回 目 四 下 证 到 
盘 上 的 键 的 布局 可 以 是 随机 的 ， 这 样 就 能 有 效 地 
防止 木马 通过 对 按键 位 置 的 记录 ， 窃 取 用 户 密码 。 图 3.4， 某 银行 的 客户 端 登录 软 键盘 


3. 批量 登录 攻击 与 验证 码 


验证 码 也 称 为 全 自动 区 分 计算 机 和 人 类 的 图 灵 测 试 (Completely Automated Public 
Turing test to tell Computers and Humans Apart，CAPTCHA)， 是 一 种 区 分 用 户 是 计算 机 还 是 
人 的 公共 全 自动 技术 ， 其 目的 是 有 效 防 止 某 一 个 特定 注册 用 户 用 特定 程序 暴力 破解 方式 进 
行 不 断 的 登录 尝试 。 其 具体 方法 是 强迫 用 户 在 登录 时 必须 要 人 工 进行 一 些 工作 。 基 本 方法 
是 要 用 户 从 模糊 的 图 形 之 中 辨认 出 隐藏 在 其 中 的 一 些 信息 。 用 户 只 有 将 正确 的 答案 与 账户 
和 口令 一 起 发 送 ， 才 能 注册 。 这 就 使 得 攻击 者 使 用 程序 自动 注册 成 为 不 可 能 。 

在 形式 上 ， 验 证 码 可 以 是 数字 、 字 母 、 文 字 、 图 片 、 广 告 以 及 问题 等 。 

验证 码 主要 用 来 控制 注册 或 登录 的 时 间 和 节奏 不 能 太 快 。 用 户 登 录 时 ， 验 证 码 根据 时 
间 周 期 随机 生成 ， 用 户 在 一 定 的 时 间 周 期 内 必须 从 图 片 中 人 工 找 出 所 隐藏 的 信息 ， 输 入 验 
证 码 ， 提 交 服 务 器 系统 验证 ， 验 证 成 功 才能 登录 。 两 次 登录 之 间 有 一 个 验证 生存 期 〈 一 般 
为 30s)。 

强制 人 为 干预 的 另 一 种 方法 是 通过 手机 传送 验证 码 。 
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3.1.3 动态 口令 
1. 动态 口令 的 概念 


动态 口令 也 称 为 一 次 性 口令 (One-Time Password，OTP)， 是 最 安全 的 口令 。 它 是 根据 
专门 的 算法 生成 一 个 不 可 预测 的 随机 数字 组 合 ， 每 个 密码 只 能 使 用 一 次 ， 目 前 被 广泛 运用 
在 网 银 、 网 游 、 电 信 运 营 商 、 电 子 商务 、 企 业 等 应 用 领域 。 

动态 口令 有 如 下 优势 。 

(1) 可 以 提供 给 最 终 用 户 安全 访问 企业 核心 信息 的 手段 。 

(2) 可 以 降低 与 密码 相关 的 IT 管理 费用 。 

(3) 是 一 种 无 须 记忆 的 复杂 密码 ， 降 低 了 遗忘 密码 的 概率 。 

2. 动态 令 牌 的 类 型 

为 了 安全 ， 动 态 口令 不 是 在 网 络 上 直接 生成 ， 也 不 是 由 系统 直接 从 网 络 上 发 给 用 户 ， 
而 是 通过 其 他 渠道 或 生成 器 提供 给 用 户 。 这 些 用 于 生成 动态 口令 终端 通常 称 为 “ 令 牌 >。 目 
前 主流 令 牌 有 短信 密码 、 手 机 令 牌 、 硬 件 令 牌 和 软件 令 牌 4 种 。 

1) 短信 密码 

短信 密码 以 手机 短信 形式 请 求 包含 6 位 或 更 多 随机 数 的 动态 口令 ， 身 份 认证 系统 以 短 
信 形 式 发 送 随 机 的 6/8 位 密码 到 客户 的 手机 上 , 客户 在 登录 或 者 交易 认证 的 时 候 输入 此 动态 
口令 ， 从 而 确保 系统 身份 认证 的 安全 性 。 

2) 手机 令 牌 

手机 令 牌 是 一 种 手机 客户 端 软件 , 它 每 隔 30s 产生 一 个 随机 6 位 动态 密码 , 口令 生成 过 
程 不 产生 通信 及 费用 ， 具 有 使 用 简单 、 安 全 性 高 、 低 成 本 、 无 须 携带 额外 设备 、 容 易 获 取 、 
无 物流 等 优势 ， 手 机 令 牌 是 3G 时 代 动 态 密 码 身份 认证 发 展 的 趋势 。 手 机 令 牌 有 J2ME、 
iPhone、Android 和 Windows Mobile 6 版 本 ， 可 以 广泛 应 用 在 网 络 游戏 、 互 联网 等 用 户 基数 
大 的 领域 ， 手 机 令 牌 的 使 用 将 大 大 减 小 动态 密码 服务 管理 及 运营 成 本 ， 方 便 用 户 。 

3) 硬件 令 牌 

硬件 令 牌 往往 是 一 个 钥匙 扣 大 小 的 轻巧 器 具 ， 上 有 显示 屏 ， 可 以 显示 随机 密码 。 它 每 
60s 变换 一 次 动态 口令 ， 动 态 口 令 一 次 有 效 ， 它 产生 6/8 位 动态 
数字 。 图 3.5 是 一 款 硬件 令 牌 。 

boe666e | 4) 软件 令 牌 

i 软件 令 牌 是 通过 软件 生成 随机 密码 。 

图 3.5 一 款 硬件 令 牌 3. 动态 口令 技术 分 类 

动态 口令 技术 主要 分 两 种 : 同步 口令 技术 和 异步 口令 技术 (挑战 -应 答 方式 )。 其 中 的 同 
步 口 令 技术 又 分 为 时 间 同 步 口令 和 事件 同步 口令 两 种 。 
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1) 同步 口令 

(1) 时 间 同 步 口令 。 

时 间 同 步 口令 基于 令 牌 和 服务 器 的 时 间 同 步 , 并 且 采 用 国际 标准 时 间 , 一 般 每 60s 产生 
一 个 新 口令 。 为 了 保持 服务 器 与 令 牌 的 同步 ， 一 方面 ， 要 求 服务 器 要 能 够 十 分 精确 地 保持 
正确 的 时 钟 ， 对 令 牌 的 晶振 频率 也 有 严格 的 要 求 ; 另 一 方面 ， 由 于 令 牌 的 工作 环境 不 同 ， 
在 磁场 、 高 温 、 高 压 、 震 荡 、 浸 水 等 情况 下 易 发 生 时 钟 脉冲 的 不 确定 偏 移 和 损坏 ， 因 此 在 
每 次 进行 认证 时 ， 服 务 器 端 将 会 检测 令 牌 的 时 钟 偏 移 量 ， 不 断 微调 自己 的 时 间 记 录 。 

(2) 事件 同步 口令 。 

基于 事件 同步 的 令 牌 是 通过 某 一 特定 的 事件 次 序 及 相同 的 种 子 值 作为 输入 ， 通 过 哈 希 
算法 运算 出 一 致 的 密码 。 其 整个 工作 流程 与 时 钟 无 关 ， 不 受 时 钟 的 影响 ， 令 牌 中 不 存在 时 
间 脉 冲 晶振 。 但 由 于 其 算法 的 一 致 性 ， 其 口令 是 预先 可 知 的 ， 通 过 令 牌 ， 可 以 预先 知道 今 
后 的 多 个 密码 ， 故 当 令 牌 遗失 上 且 没 有 使 用 PIN 码 对 令 牌 进行 保护 时 ， 存 在 非法 登录 的 风险 。 
因此 对 于 PIN 码 的 保护 是 十 分 必要 的 。 

2) 异步 口令 

异步 口令 不 需要 令 牌 和 服务 器 之 间 同 步 ， 因 而 降低 了 对 应 用 的 影响 ， 极 大 地 提高 了 系 
统 的 可 靠 性 。 它 的 主要 技术 是 采用 了 挑战 /应 答 (challenge-response) 方式 。 

基于 挑战 /应 答 方 式 的 身份 认证 系统 在 每 次 认证 时 ， 认 证 服务 器 端 都 给 客户 端 发 送 一 个 
不 同 的 “挑战 ” 字 串 ， 客 户 端 程序 收 到 这 个 “挑战 ” 字 串 后 ， 做 出 相应 的 “应 答 ” 具体 过 
程 如 下 。 

(1) 客户 向 认证 服务 器 发 出 请 求 ， 要 求 进行 身份 认证 。 

(2) 认证 服务 器 从 用 户 数 据 库 中 查询 用 户 是 否 是 合法 的 用 户 ， 若 不 是 ， 则 不 做 进一步 
处 理 。 

(3) 认证 服务 器 内 部 产生 一 个 随机 数 ， 作 为 “提问 ”， 发 送 给 客户 。 

(4) 客户 将 用 户 名 字 和 随机 数 合并 , 使 用 单 向 哈 希 函数 (例如 MD5 算法 ) 生成 一 个 6/8 
位 的 随机 数字 字 节 串 作 为 应 答 ， 口 令 一 次 有 效 。 

(5) 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 ， 若 两 者 相同 ， 则 通过 一 次 认证 ; 否 
则 ， 认 证 失败 。 

(6) 认证 服务 器 通知 客户 认证 成 功 或 失败 。 

以 后 的 认证 由 客户 不 定时 地 发 起 ， 过 程 中 没有 了 客户 认证 请 求 这 一 步 。 这 个 过 程 增加 
了 用 户 操作 的 复杂 度 ， 因 此 两 次 认证 的 时 间 间 隔 不 能 太 短 ， 否 则 就 给 网 络 、 客 户 和 认证 服 
务 器 带 来 太 大 的 开销 ; 也 不 能 太 长 ， 否 则 不 能 保证 用 户 不 被 他 人 盗用 IP 地 址 ， 一 般 定 为 


1~2min。 
4. 智能 
智能 卡 (smart card) 是 一 种 集成 电路 卡 ， 它 内 置 有 处 理 器 ， 可 以 存储 用 户 的 个 性 化 的 


秘密 信息 ， 并 提供 硬件 保护 措施 和 加 密 算 法 。 进 行 认证 时 ， 用 户 输入 自己 的 PIN， 先 由 智能 
卡 进行 认证 。 认 证 成 功 后 ， 即 可 读 出 卡 中 的 秘密 信息 ， 进 而 进行 与 主机 间 的 认证 。 
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5. 基于 挑战 /应 答 的 双 因 子 USB Key 

一 种 常用 的 智能 卡 是 基于 挑战 /应 答 的 双 因子 USB Key ( 见 
图 3.6)。 双 因子 认证 是 指 用 户 必须 具备 两 个 必要 因素 (如 PIN 和 
USB Key), 才 可 以 登录 系统 。 这样 , 即使 PIN 暴露 , 只 要 USB Key 
不 同时 被 获得 PIN 的 人 掌握 ,用 户 的 合法 身份 就 不 会 被 假冒 ; 或 
者 USB Key 遗失 , 但 没有 掌握 用 户 的 PIN， 用户 的 合法 身份 也 不 
会 被 假冒 。 
































图 3.6 一 款 USB Key 


3.2 ”基于 密 钥 分 发 的 身份 认证 


密 钥 是 加 密 的 工具 ， 但 由 于 密 钥 的 私密 性 ， 使 它 也 具有 凭证 的 某 些 特性 。 在 网 络 环境 
下 ， 密 钥 分 发 是 通过 握手 过 程 进行 的 ， 这 个 过 程 要 遵守 某 种 规则 ， 这 些 称 为 认证 协议 或 算 
法 。 在 这 个 过 程 中 也 有 了 身份 认证 的 作用 。 需 要 注意 的 是 ,“ 身 份 ”不 仅 包 含 真实 性 ， 还 包 
含 时 效 性 ， 即 此 刻 的 A 不 是 彼 刻 的 A， 只 有 确认 了 这 一 点 ， 才 能 有 效 地 防止 抵赖 行为 。 
3.2.1 公 钥 加 密 认 证 协议 

公 钥 加 密 认证 协议 是 基于 公 钥 加 密 体制 分 配 会 话 密 钥 过 程 实现 的 。 下 面 介绍 儿 种 认证 
协议 。 

1. 相互 认证 协议 

(1) 一 个 通过 认证 服务 器 AS 的 身份 认证 协议 如 下 。 

© A—AS: IDA||IDa。 

@ AS—A: Ex [IDaIlPKAI TI Esx,, [IDs || PKs | 7 

图 A—B: Esx,, [IDAIPKAN TI Esx [IDs ll PKs | 7 Ew, [Esx, [Ks | 7]. 

这 个 协议 需要 各 方 时 钟 同步 。 

(2) 一 个 通过 KDC 的 身份 认证 协议 如 下 。 

© A—KDC: IDA||IDe。 

@ KDC 一 A: Esx,, [IDe PKs] (SKau 是 KDC 的 私 钥 )。 


@ A—B: Ex, [NA IDA] (NA 是 A 选择 的 一 次 性 随机 数 )。 

@ B 一 KDC: IDs IDA|| Ex [NA] (PKau 是 KDC 的 公 钥 )。 

® KDC~B: Es [IDA | PKA] ||E, [ Esra [Nal Ks ll IDs]] (Ks 是 KDC 为 A、B 分 
配 的 一 次 性 会 话 密 钥 )。 

© B 一 A: E, [Esc, [Na ll Ks lIDs] || NB]。 

©® A—B: Ex [Ne]。 

这 个 协议 中 使 用 了 一 次 性 随机 数 ， 所 以 不 再 要 求 各 方 时 钟 的 同步 。 但 是 ， 这 个 协议 不 
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能 抵御 攻击 者 对 A 的 假冒 。 请 读者 设法 为 此 改进 这 个 协议 。 
2. 单 向 认证 协议 


简单 地 说 ， 认 证 协议 主要 有 两 种 作用 : 提供 机 密 性 和 认证 性 。 在 公 钥 加 密 体制 中 ， 这 
些 功 能 要 看 是 否 为 对 方 提供 公 钥 。 
(1) 发 送 方 知道 接收 方 的 公 钥 ， 才 有 可 能 实现 机 密 性 保护 。 例 如 ， 下 面 的 协议 仅 提 供 
机 密 性 : 
A 一 B: Ex [Ks]|Ex [MI (Ks 为 A 向 B 发 送 的 一 次 通信 密 钥 ) 
(2) 接收 方 知道 发 送 方 的 公 钥 ， 才 有 可 能 实现 认证 性 保护 。 例 如 ， 下 面 的 协议 仅 提 供 
认证 性 : 





A—B: MI Esx, [H(M)] 

这 时 ， 为 了 使 B 确信 A 的 公 钥 的 真实 性 ，A 还 要 向 B 发 送 公 钥 证 书 : 

A 一 B: MIEsk [EUO]1Esk [Tl|IDA ||PKa] (SKas 为 认证 服务 器 的 公 钥 ，E 
IDA||PKA] 是 AS 给 A 签署 的 公 钥 证 书 )。 

(3) 发 送 方 和 接收 方 互相 知道 对 方 的 公 铀 ， 则 既 可 提供 机 密 性 又 可 提供 认证 性 ， 例 如 : 

A 一 B: Es, [MI Esx, [HOD] 
这 时 ， 为 了 使 B 确信 A 的 公 钥 的 真实 性 ，A 还 要 向 B 发 送 公 和 钥 证 书 : 
A™B: Ec, [MI Esx, [HOD I Esx, [Ts | IDa || PKA] 

3.2.2 ” 单 钥 加 密 认证 协议 


1. 相互 认证 协议 Needham-Schroeder 


[| 


Kas 


1) Needham-Schroeder 协议 过 程 

如 2.1.5 节 所 述 , 通过 KDC 进行 单 密 钥 分 配 ,通常 采用 图 2.6 所 示 的 方法 。 这 个 过 程 由 
5 步 组 成 。 

@ A 一 KDC: IDA || IDs || NA (A 和 KDC 请 求 与 B 加 密 通 信 )。 

©® KDC—A: Ex, [Ks||lIDs||NAI| Ex, [Ks |IDA]] (A 获得 Ks)。 

@ A 一 B: Ex, [Ks IDa] (B 安全 地 获得 Ks)。 

@ B 一 A: Ex [Ne] (B 知道 A 已 掌握 Ks， 用 加 密 Ne 向 A 示意 自己 也 获得 Ks)。 

© A—B: Ex [ANB)]。 

这 个 协议 被 称 为 Needham-Schroeder 协议 。 在 这 个 协议 中 ， 前 3 步 是 KDC 分 发 密 钥 ， 
第 国 、 轿 两 步 是 一 次 握手 过 程 ， 即 B 认证 A 的 过 程 : 当 在 第 @ 步 中 B 能 正确 收 到 自己 在 第 
@ 步 发 出 的 Ne 时 ， 就 可 以 证 明 A 是 当前 的 通话 对 象 ， 因 为 自己 在 第 @@ 步 获得 的 Ks 是 “新 
鲜 ” 的 ， 而 非 攻击 者 截获 的 前 一 次 执行 通话 时 用 过 的 Ks 的 重 放 。 但 是 ， 若 攻击 者 已 经 获得 
旧 会 话 密 钥 Ks， 并 冒充 A 向 B 重 放 第 @ 步 的 消息 ， 就 可 以 欺骗 B 使 用 旧 Ks 会话 ， 接 着 截 
获 第 @ 步 B 的 询问 ， 再 冒充 A 对 B 应 答 。 这 样 就 能 冒充 A 向 B 发 送 假 消息 ， 使 抗 抵赖 保 


“163= 


护 失败 。 

2) Needham-Schroeder 协议 改进 

改进 的 办 法 是 在 第 @ 步 和 第 @ 步 中 加 上 一 个 时 间 鹤 ， 即 

© KDC—™A: Ex [Ks||IDs||TI| Ex, [Ks||IDA TY). 

® A—B: Ex, [Ks1IDA17。 

这 样 ，A 和 B 都 可 以 利用 当前 时 间 对 了 进行 检查 ， 以 确定 Ks 是 否 陈 旧 的 。 但 是 ， 使 用 
这 个 协议 的 前 提 是 A 和 B 的 时 钟 完全 同步 。 若 由 于 系统 故障 或 存在 计时 误差 ， 就 会 被 攻击 
者 利用 时 间 差 进行 重 放 攻击 。 
重 放 攻击 (replay attacks) 又 称 为 重播 攻击 、 回 放 攻 击 或 新 鲜 性 攻击 (freshness attacks )， 
是 指 攻击 者 发 送 一 个 目的 主机 已 接收 过 的 包 ， 用 欺骗 手法 破坏 认证 的 正确 性 。 

3) Needham-Schroeder 协议 再 改进 

克服 上 述 缺陷 的 方法 是 将 Needham-Schroeder 协议 进一步 改进 为 以 下 过 程 。 

© A—B: IDA|| NA。 

©® B—KDC: IDs|| Nel Ex, [IDA | NA Ta]. 

® KDC—A: Ex, [IDs | NA Ks||IDA|| Te] ll Ex, [IDA | Ks | Te] || Ne。 

@ A—B: Ex, [IDa|| Ks|| Tea] ||Ex, [Ne]。 

这 个 协议 的 执行 过 程 如 图 3.7 所 示 。 


图 3.7 进一步 改进 的 Needham-Schroeder 协议 


分 析 这 个 进一步 改进 的 Needham-Schroeder 协议 可 以 看 出 以 下 几 点 。 

在 第 @ 步 中 ，A 将 IDA 和 NA 以 明文 传送 给 B， 在 第 @ 步 中 ，B 用 自己 和 KDC 共享 的 
主 密 钥 对 IDA 和 NA 加 密 传送 给 KDC; 在 第 @ 步 中 , KDC 对 从 B 传 来 的 信息 解密 ,再 用 KDC 
与 A 共享 的 主 密 钥 , 将 Ks 和 NA 一 同 加 密 传 回 A。A 验证 了 NA 就 可 以 知道 ，B 已 经 收 到 了 
A 在 第 @ 步 中 发 送 的 消息 ， 同 时 也 确信 Ks 是 新 鲜 的 。 

在 第 @ 步 中 , B 将 IDe 和 Ne 以 明文 传送 给 KDC, 经 第 @ 步 由 KDC 将 Ne 传送 给 A， 再 
由 A 用 Rs 加 密 Ne 传 回 B。 同 NA 的 作用 一 样 ，Ne 用 来 保证 B 收 到 的 Ks 是 新 鲜 的 。 

在 第 @ 步 中 ，B 发 出 的 Ta 是 B 建议 的 证 书 截 止 时 间 ， 它 是 B 根据 自己 的 时 钟 确定 的 ， 
不 要 求 各 方 之 间 同 步 。 

Ex [IDA || Na || 7B] 经 KDC 传送 给 A, 由 A 留 作 以 后 认证 的 证 据 , 并 可 以 在 有 效 时 间 范 
围 内 ， 不 借助 认证 服务 器 (KDC) 而 是 通过 以 下 儿 步 实现 双方 的 新 认证 。 

QD A—B: Ex, [IDAl|Ks|| Ta], Na。 
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© B—A: Ns, Ex [MA]。 

@ A—B: Ex [Ne]。 

这 里 ，B 通过 76 检 验证 据 是 否 过 时 ， 而 新 产生 的 随机 数 NA 和 Ns 可 以 用 来 保证 没有 重 
放 攻 击 。 


2. 单 向 认证 协议 


对 于 单 向 保密 通信 的 特点 , 在 Needham-Schroeder 协议 中 去 掉 第 @ 步 和 第 @@ 步 ,就 成 为 
能 满足 单 向 通信 两 个 基本 要 求 的 单 向 认证 协议 。 

© A—KDC: IDA || IDs | Na. 

© KDC—A: Ex [Ks||IDs|| NAllExr, [Ks|| IDA]]. 

® A—B: Ex,[Ks|IDA Ex [M]. 

这 个 协议 提供 了 对 于 发 送 方 A 的 认证 ， 保 证 只 有 B 才能 阅读 报 文 。 但 是 ， 它 不 能 防止 
重 放 攻 击 。 为 此 ， 可 以 使 用 时 间 戳 。 不 过 由 于 电子 邮件 处 理 的 延迟 性 ， 时 间 截 的 作用 有 限 。 
3.2.3 ”Kerberos 认证 系统 


Kerberos 是 MIT( 麻 省 理工 学 院 ) 的 一 种 基于 Needham-Schroeder 算法 的 网 络 认证 系统 ， 
其 设计 日 标 是 通过 对 称 密 钥 系统 为 客户 /服务 器 应 用 程序 提供 强大 的 认证 服务 。Kerberos 的 
名 称 来 自 希腊 神话 中 一 种 有 3 个 脑袋 的 地 狱 守门 狗 。 设 计 者 采用 这 个 名 字 是 想 给 网 络 大 门 
提供 如 下 3 种 守护 。 

(1) 认证 (authentication )。 

(2) 清算 (accounting)。 

(3) 审计 (audit)。 


1. Kerberos 的 计算 环境 


Athena 认为 ，Kerberos 计算 环境 由 大 量 的 匿名 工作 站 和 相对 较 少 的 独立 服务 器 组 成 。 
服务 器 提供 文件 存储 、 打 印 、 邮 件 等 服务 ， 工 作 站 主要 用 于 交互 和 计算 。 在 此 环境 中 存在 
如 下 3 种 威胁 。 

(1) 用 户 可 以 访问 特定 的 工作 站 并 伪装 成 该 工作 站 用 户 。 

(2) 用 户 可 以 改动 工作 站 的 网 络 地 址 ， 伪 装 成 其 他 工作 站 。 

(3) 用 户 可 以 根据 交换 窃取 消息 ， 并 使 用 重 放 攻击 来 进入 服务 器 。 

在 整个 网 络 中 ， 除 了 Kerberos 服务 器 外 ， 其 他 都 是 危险 区 域 ， 任 何人 都 可 以 在 网 络 
读 取 、 修 改 和 插入 数据 。 作 为 一 种 可 信任 的 第 三 方 认证 服务 ， 在 这 样 的 环境 下 ，Kerbero 
认证 过 程 的 实现 不 依赖 于 主机 操作 系统 的 认证 ， 无 须 基 于 主机 地 址 的 信任 ， 不 要 求 网 络 | 
所 有 主机 的 物理 安全 ， 并 假定 网 络 上 传送 的 数据 包 可 以 被 任意 地 读 取 、 修 改 和 插入 数据 。 


2. Kerberos 系统 组 成 


一 个 完整 的 Kerberos 主要 由 如 下 几 个 部 分 组 成 。 
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1) 两 个 服务 对 象 


(1) 客户 (client): 发 起 认证 服务 方 。 

(2) 服务 器 (server): 接受 客户 端的 请 求 ， 对 数据 库 进行 操作 。 

2) 两 类 凭证 

在 Kerberos 中 使 用 两 类 凭证 。 

(1) 票证 〈Ticket Granting Ticket，TGT)， 也 称 为 入 场 券 : 用 来 安全 地 在 认证 服务 器 和 
用 户 请 求 的 服务 之 间 传 递 信息 ， 内 容 包括 : @ 用 户 的 身份 ; @ 下 一 阶段 通信 双方 使 用 的 临 
时 加 密 密 钥 一 一 会 话 密 钥 (session key); @ 时 间 标 记 (timestamp), 用 于 检测 重 放 攻 击 (replay 
attack)。 入 场 券 一 旦 生成 ， 在 其 生存 期 内 可 以 被 用 户 多 次 使 用 来 申请 同一 个 服务 器 的 服务 。 

(2) 鉴别 码 Cauthenticator): 用 来 作为 认证 凭证 的 一 段 加 密 文字 ， 用 来 提供 信息 与 入 场 
券 中 的 信息 进行 比较 ， 一 起 保证 发 出 入 场 券 的 用 户 就 是 入 场 券 中 指定 的 用 户 ， 以 防止 攻击 
者 再 次 使 用 同一 凭证 。 其 内 容 包 括 校 验 和 、 子 密 钥 、 序 列 号 和 身份 认证 数据 。 它 们 只 能 在 
一 次 服务 请 求 中 使 用 ， 每 当 用 户 向 服务 器 申请 服务 时 ， 必 须 重新 生成 Authenticator。 

两 种 凭证 均 使 用 私有 密 钥 加 密 ， 但 加 密 的 密 钥 不 同 。 

3) 两 个 库 

(1) Kerberos 数据 库 〈 中 心 数据 库 ): 记载 了 每 个 Kerberos 用 户 的 名 字 、 用 户口 令 、 私 
有 密 钥 和 截止 信息 (记录 的 有 效 时 间 ， 通 常 为 儿 年 ) 等 重要 信息 。 

(2) Kerberos 应 用 程序 库 : 应 用 程序 接口 ， 包 括 创建 和 读 取 认证 请 求 ， 以 及 创建 safe 
message 和 private message 的 子 程序 。 

4) 两 个 服务 器 

为 了 减轻 每 个 服务 器 的 负担 ，Kerberos 把 身份 认证 的 任务 集中 在 身份 认证 服务 器 上 。 
Kerberos 的 认证 服务 任务 被 分 配给 两 个 相对 独立 的 服务 器 。 

(1) 认证 服务 器 (Authenticator Server，AS): 存放 一 个 Kerberos 数据 库 的 只 读 副本 ， 
生成 会 话 密 钥 ,验证 用 户 身 份 。 当 一 个 用 户 登 录 到 一 个 企业 内 部 网 请 求 访问 内 部 服务 器 时 ， 
AS 将 根据 中 心 数据 库存 储 的 用 户 密码 生成 一 个 DES 加 密 密 钥 , 对 一 个 入 场 券 (TicketTGS) 
进行 加 密 。 这 个 入 场 券 是 提供 给 TGS 的 。 

(2) 票据 分 配 服务 器 〈Ticket Granting Server，TGS): 也 称 为 入 场 券 许可 服务 器 ， 用 于 
发 放 身份 证 明 票 据 〈 赁 证 )。 当 用 户 要 访问 某 个 服务 器 S 时 ，TGS 就 会 查找 中 心 数据 库 中 的 
存 取 控 制 表 ， 以 确认 该 用 户 是 否 已 经 授权 使 用 该 服务 器 。 确 认 后 ， 会 生成 一 个 新 的 凭证 
(CTicketS ， 相 当 于 手 牌 )。 这 个 新 的 凭证 包含 有 与 服务 器 相关 的 密 钥 和 加 密 后 的 入 场 券 
(TicketTGS )。 


3。 Kerberos 系统 认证 使 用 的 信息 


(1) 在 认证 过 程 中 使 用 以 下 身份 识别 码 。 
IDc: 客户 (工作 站 ) 标识 。 
IDr: TGS 标识 。 
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IDs: 服务 器 标识 。 

(2) Kerberos 是 采用 对 称 密 钥 加 密 算法 来 通过 第 三 方 KDC 实现 身份 认证 。 在 认证 过 程 
中 使 用 如 下 密 钥 。 

Kc: C 的 用 户 密 铀 ， 由 C 上 的 用 户口 令 导出 ， 可 与 AS 共享 。 

Ks: S 的 用 户 密 钥 ， 可 与 TGS 共享 。 

Kr: TGS 的 用 户 密 钥 ，AS 与 TGS 共享 。 

Kcr: 会 话 密 钥 ，C 与 TGS 共享 。 

Kcs: 会 话 密 钥 ，C 与 $ 共享。 

用 户 密 钥 属 于 长 效 密 钥 (long-term key); 会 话 密 钥 属于 短 效 密 钥 (short-term key)， 仅 
用 于 一 次 会 话 。 

(3) 在 认证 过 程 中 使 用 如 下 数据 。 

ADc: C 的 网 络 地 址 。 

TS;: 第 i 个 时 间 惟 。 

Lifetime;: 第 i 个 有 效 期 间 。 

(4) 在 认证 过 程 中 获取 如 下 凭证 。 

Tickets: 服务 器 入 场 券 。 

Ticketres: TGS 的 入 场 券 。 

Authenticatorc: 用 户 生 成 的 最 终 认 证 信息 。 


4. Kerberos 同 域 认证 过 程 
Kerberos 的 同 域 认 证 过 程 如 图 3.8 所 示 ， 分 为 3 个 阶段 6 个 步骤 。 
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图 3.8 ”Kerberos 同 域 认 证 


(1) 认证 服务 交换 ， 客 户 从 AS 取得 入 场 券 。 

@@: 客户 向 AS 发 出 访问 TGS 请 求 〈 用 TS; 防止 回放 攻击 ): 

C—AS: Ex. [IDcllIDrllTS]。 

@: AS 向 C 发 放 入 场 券 一 一 TGS 许可 票证 TicketrGs: 

AS 一 C:， Ex. [Kcrl|IDr|| TS, || Lifetime, || Ticketros]。 

其 中 : 

Kcr 为 供 C 与 TGS 共享 的 会 话 密 钥 。 

TicketrGs= Ex, [Kcr | IDc || ADc || IDY || TS; || Lifetime>]。 

(2) 入 场 券 许可 服务 交换 ，C 用 入 场 券 换取 TGS 服务 许可 凭证 。 

@: C 向 TGS 发 出 请 求 ， 内 容 包括 服务 器 识别 码 、 入 场 券 和 一 个 认证 符 : 
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C—TGS: 及。 [IDs ||Ticketros|| Authenticatorc]。 

S 中 : 

Ticketres= Ek, [Ker|| IDc ||ADc | IDr|| TS21| Lifetimes]〈 提 交 入 场 券 供 TGS 认证 )。 
Authenticatorc= Ex [IDc ||ADc||TS3] (向 TGS 提供 自己 的 鉴别 码 )。 

@: TGS 验证 ， 向 C 发 出 服务 许可 和 凭证 : 

TGS 一 C: Ex, [Kes||IDs ||TSa | Tickets]。 

只 中 : 

Kcs 为 C 与 S 的 会 话 密 钥 。 

Tickets= Ex,, [Kcs|| IDc || ADc || IDs || TS4 || Lifetimes] (C 无 法 解密 ， 只 能 转交 S 认证 )。 
(3) 客户 和 服务 器 相互 认证 ， 用 户 从 服务 器 获取 服务 。 

@@: C 向 服务 器 证 明 自 己 的 身份 (用 Tickets 和 Authenticators): 

C™>S: Er [Tickets|| Authenticatorc]。 

其 中 : 

Tickets= Ek,, [Kcs|| IDc || ADc | IDs | TS4 || Lifetime4]。 

Authenticators= Ex [IDc || ADc || TSs]。 

S 用 Tickets 与 Authenticators 对 比 ， 进 行 认证 。 

@: 服务 器 向 客户 证 明 自 己 的 身份 : 

S—C: Ex, [TSs+1]. 

这 个 过 程 结束 ， 客 户 C 与 服务 器 S 之 间 就 建立 起 了 共享 会 话 密 钥 ， 以 便 以 后 进行 加 密 
































通信 或 交换 新 密 钥 。 


5。Kerberos 异域 认证 
由 于 管理 控制 、 政 治 经 济 和 其 他 的 因素 ， 不 太 可 能 在 世界 范围 内 实现 统一 的 Kerberos 


的 认证 中 心 ， 而 每 一 个 Kerberos 的 认证 中 心 都 具有 或 大 或 小 的 一 定 监 管区 域 (Kerberos 的 
认证 域 ), 客户 向 本 Kerberos 的 认证 域 以 外 的 服务 器 申请 服务 的 过 程 如 图 3.9 所 示 , 分 为 7 步 。 



























































































Kerberos 
AS 国 客户 C ® Kerberos 
© AS 
TGS 已 © 
© @ | Tos 
领域 B 可 外 
领域 A 


服务 器 S 
图 3.9 Kerberos 异域 认证 
© c-AS:， Ex. [DecllIDrllTS]。 
@ AS—C: Ex. [Ker||IDr TS; | Lifetime; || Ticketrcs]。 
@ C~TGS: Ex [IDms|| Ticketres|| Authenticatorc] (IDrs 为 领域 B 的 TRSe 标识 )。 
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@ TGS 一 C: Ex [Kcrel|IDrs|| TS4|| Ticketra] CKcm 为 C 与 TRSe 会 话 的 密 钥 )。 
© C~TGSe: Ex,,, [IDm1Ticketre|‖ Authenticatorc]。 

© TGSe 一 C: Er, [Kcs||IDrs | || TS || Ticketre]。 

©@ C—S: Ex [Ticketrs || Authenticatorc]。 


KcTB 


3.3 ”基于 数字 证 书 的 身份 认证 
3.3.1 ”数字 证 书 
1. 数字 证 书 的 特点 


数字 证 书 也 称 为 数字 身份 证 或 数字 ID， 其 实 就 是 一 个 特殊 的 计算 机 文件 ， 这 个 计算 机 
文件 由 权威 机 构 一 一 认证 中 心 〈Certificate Authority，CA) 制作 ， 是 给 网 上 用 户 的 一 组 数字 
信息 ， 包 含 用 户 身份 信息 、 用 户 公开 密 钥 、 签 名 算法 标识 、 证 书 有 效 期 、 证 书 序列 号 、 颁 
证 单位 和 扩展 项 等 。 数 字 证 书 有 以 下 特点 。 

(1) 它 包含 了 身份 信息 ， 因 此 可 以 用 于 证 明 用 户 身份 。 

(2) 它 包 含 了 非 对 称 密 钥 ， 不 但 可 用 于 数据 加 密 ， 还 可 用 于 数据 签名 ， 保 证 通信 过 程 
的 安全 和 不 可 抵赖 。 

(3) 由 于 它 是 权威 机 构 颁布 的 ， 因 此 具有 很 高 的 公信 度 。 

有 了 数字 证 书 之 后 ， 在 网 上 通信 的 双方 进行 联系 的 第 一 步 便 是 利用 预 装 在 浏览 器 中 的 
安全 认证 软件 和 认证 中 心 的 公 钥 对 通信 对 象 的 数字 证 书 进行 验证 ;验证 无 误 后 ， 才 可 使 用 
认证 中 心 传递 的 加 密 公 钥 进行 加 密 通信 。 


2. 基于 数字 证 书 的 USB Key 


基于 数字 证 书 的 智能 卡 ， 是 用 智能 卡 作为 数字 证 书 的 存储 介质 ， 可 以 保证 数字 证 书 不 
被 复制 ， 并 可 以 实现 数字 证 书 的 所 有 功能 。 中 国 农 
业 银 行 的 U 盾 〈 见 图 3.10) 实际 上 是 一 种 基于 数字 
证 书 的 USB Key。 它 不 仅 可 以 履行 数字 证 书 的 功能 ， 
进行 双 因 子 认 证 ， 还 可 以 自动 生成 一 个 随机 布局 的 
软 键盘 供用 户 输入 自己 的 PIN， 从 多 个 角度 保障 客 
户 账 户 安全 。 

3. 数字 证 书 分 类 

常见 的 数字 证 书 有 以 下 几 种 。 

(1) Web 服务 器 证 书 。 用 于 Web 服务 器 与 用 户 浏览 器 之 间 建 立 安全 连接 通道 。 

(2) 服务 器 身份 证 书 。 提 供 服务 器 身份 信息 、 公 钥 和 CA 签名 ,用 于 确保 与 其 他 服务 器 
或 用 户 通信 的 安全 。 

(3) 计算 机 证 书 。 提 供 计算 机 的 身份 信息 ， 确 保 与 其 他 计算 机 通信 的 安全 性 。 




















图 3.10 中 国 农 业 银行 的 U 盾 
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(4) 个 人 证 书 。 提 供 证 书 持 有 人 的 个 人 身份 信息 、 公 钥 和 CA 签名 ， 用 于 在 网 络 中 标识 
个 人 身份 。 浏 览 器 证 书 也 是 一 种 个 人 证 书 。 

(5) 安全 电子 邮件 证 书 。 提 供 证书 持 有 者 的 电子 邮件 地 址 、 公 钥 和 CA 签名 ， 用 于 电子 
邮件 的 安全 传递 和 认证 。 

(6) 企业 证 书 。 提 供 企业 的 身份 信息 、 公 钥 和 CA 签名 ,用 于 在 网 络 中 标识 证 书 持 有 者 
的 身份 。 

(7) 代码 签名 证 书 。 附 加 在 软件 代码 中 ， 用 于 证 实 软件 的 真实 性 ， 保 护 软 件 代码 的 完 
整 性 的 数字 证 书 。 


4. 认证 中 心 


认证 中 心 (CA) 是 可 以 信赖 的 第 三 方 机 构 ， 具 有 如 下 一 些 功 能 。 

(1) 颁发 证 书 。 如 密 钥 对 的 生成 ， 私 钥 的 保护 等 ， 并 保证 证 书 持 有 者 应 有 不 同 的 密 钥 对 。 

(2) 管理 证 书 。 记 录 所 有 颁发 过 的 证 书 以 及 所 有 被 吊销 的 证 书 。 

(3) 用 户 管理 。 对 于 每 一 个 新 提交 的 申请 ， 都 要 和 列表 中 现存 的 标识 名 相 比 照 ， 如 出 
现 重 复 ， 就 予以 拒绝 。 

(4) 吊销 证 书 。 在 证 书 有 效 期 内 使 其 无 效 ， 并 发 表 CRL。 

(5) 验证 申请 者 身份 。 对 每 一 个 申请 者 进行 必要 的 身份 认证 。 

(6) 保护 证 书 服务 器 。 证 书 服务 器 必须 是 安全 的 ，CA 应 采取 相应 措施 保证 其 安全 性 。 
例如 ， 加 强 对 系统 管理 员 的 管理 以 及 防火 墙 保护 等 。 

(7) 保护 CA 私 钥 和 用 户 私 钥 。CA 签发 证 书 所 用 的 私 钥 要 受到 严格 的 保护 ， 不 能 被 毁 
坏 ， 也 不 能 非法 使 用 。 同 时 ， 根 据 用 户 密 钥 对 的 产生 方式 ，CA 在 某 些 情 况 下 有 保护 用 户 私 
钥 的 责任 。 

(8) 审计 与 日 志 检 查 。 为 了 安全 起 见 ，CA 对 一 些 重要 的 操作 应 记 入 系统 日 志 。 在 CA 
发 生 事故 后 ， 要 根据 系统 日 志 做 善后 追踪 处 理 一 一 审计 。CA 管理 员 要 定期 检查 日 志文 件 ， 
尽早 发 现 可 能 的 隐患 。 


5. 用 户 证 书 的 吊销 


在 下 列 情形 下 ， 应 当 将 用 户 证 书 吊销 。 

(1) 一 个 用 户 证 书 到 期 。 

(2) 用 户 秘 密 密 钥 汇 露 。 

(3) CA 的 证 书 失窃 。 

(4) CA 不 再 给 用 户 签发 证 书 。 

每 一 个 CA 必须 维护 一 个 证 书 吊 销 列表 (Certificate Revocation List，CRL)。CRL 中 列 
出 所 有 已 吊销 证 书 的 序列 号 和 吊销 日 期 。 


3.3.2 X.509 证 书 标准 


为 了 保障 数字 证 书 合理 获取 、 撤 出 和 验证 过 程 ，1988 年 ITU-T 发 表 了 X.509 标准 。 这 
是 一 个 基于 公开 密 钥 和 数字 签名 的 标准 ， 它 的 核心 是 数字 证 书 格式 和 认证 协议 。X.509 作为 
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X.500 目录 服务 的 一 部 分 ， 定 义 了 下 列 内 容 。 


(YX 
C2) 证 





500 目录 向 用 户 提供 认证 业务 的 一 个 框架 。 
书 格式 。 


(3) 基于 公 钥 证 书 的 认证 协议 。 
1. X.509 数字 证 书 结构 


X.509 标准 的 核心 是 与 用 户 有 关 的 公开 密 钥 证 书 。 其 V3 的 结构 如 下 。 
。 Certificate 证书) 
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9 
9 
9 
9 


0 


9 
9 
9 


Version (版本) 
Serial Number (序列 号 ) 
Algorithm ID 〈 算 法 标识 ) 
Issuer〈 颁 发 者 ) 
Validity (有 效 期 ) 
sm Not Before (起 始 日 期 ) 
和 Not After (终止 日 期 
Subject( 使 用 者 ) 
Subject Public Key Info 〈 使 用 者 公 钥 信息 ) 
mm Public Key Algorithm 〈 公 钥 算 法 ) 
mm Subject Public Key( 公 钥 ) 
Issuer Unique Identifier (Optional) 〈 颁 发 者 的 唯一 标识 ) 
Subject Unique Identifier (Optional) (使 用 者 的 唯一 标识 ) 
Extensions (Optional) (扩展 ) 


。 Certificate Signature Algorithm 〈 证 书签 名 算法 ) 
。 Certificate Signature〈 证 书签 名 ) 


X.509 标准 使 用 了 下 面 的 描述 进行 证 书 定义 : 


其 中 : 


CA<<A>> =CA{V,SN,AL CA, Ta, A, Ap} 


Y<<X>> 表 示 证 书 发 放 机 构 Y 向 用 户 X 发 放 的 证 书 。 

Y 纪 表示 工 链接 上 YY 对 工 的 哈 希 值 签名 。 

2. 证 书目 录 

证 书 产生 之 后 ， 必 须 以 一 定 的 方式 存储 和 发 布 ， 以 便于 使 用 。X.509 标准 的 公开 密 钥 证 
书 由 CA 或 用 户 放 在 X.500 目录 下 进行 集中 存储 和 管理 ， 并 由 一 个 可 信赖 的 证 书 授 权 系统 
CA 确认 。 在 证 书目 录 中 ,不仅 存 储 和 管理 用 户 证 书 ， 还 存储 用 户 的 相关 信息 (如 电子 邮件 
地 址 、 电 话 号 码 等 )。 由 于 证 书 的 非 保密 性 ， 证 书目 录 也 是 非 保密 的 。 

在 标准 化 方面 ， 目 前 证 书目 录 广 泛 使 用 X.500 标准 。X.500 标准 目录 不 仅 可 以 对 证 书 进 
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行 集中 管理 ， 还 可 以 管理 用 户 的 相关 信息 ， 从 而 构成 一 个 用 户 信息 源 。 
为 了 便于 实际 应 用 , 在 Internet 环境 下 更 多 使 用 的 是 X.500 标准 的 简化 和 改进 版 本 一 一 
轻型 目录 访问 协议 〈Lightweight Directory Access Protocol，LDAP )。 


3. X.S09 证 书 的 层次 结构 


义 .500 目录 的 作用 是 存放 用 户 的 公 钥 证 书 。 由 于 证 书 不 能 伪造 , 它们 可 以 不 需要 特别 的 
保护 就 可 以 放 在 目录 里 。 现 在 的 问题 是 ， 是 不 是 所 有 的 证 书 都 要 由 同一 个 CA 签署 ? 

一 般 说 来 ， 当 用 户 数 目 较 多 时 ， 仅 由 一 个 CA 为 所 有 用 户 签署 是 不 现实 的 。 因 为 这 样 需 
要 两 个 条 件 。 

(1) CA 必须 取得 所 有 用 户 的 信任 。 

(2) 每 一 个 用 户 必须 以 绝对 可 靠 的 方式 通过 复制 获得 CA 的 公 钥 来 证 实 。 

显然 ， 当 用 户 数目 较 多 时 ， 应 当 由 多 个 CA 分 头 为 不 同 的 用 户 签署 证 书 。 但 是 ， 简 单 地 
由 多 个 CA 为 不 同 的 用 户 签署 证 书 ， 也 有 一 些 问 题 。 例 如 ，Xi 为 A 签署 了 一 个 证 书 ，Xs 为 
B 签署 了 一 个 证 书 。 那 么 ，A 不 能 阅读 B 的 证 书 ， 也 不 能 证 实 B 的 证 书 ， 同 样 ，B 不 能 阅 
读 A 的 证 书 ， 也 不 能 证 实 A 的 证 书 。 这 一 目录 结构 如 图 3.11 (a) 所 示 。 






























































CD CC) Xl X2 XI<<X2>> 
CO Cs) Ce 
XI<<A>> X2<<B>> XI<<A>> X2<<B>> 

(a) 两 个 独立 的 CA (b) XI 为 X, 签 署 证 书 


图 3.11 多 CA 结构 


观察 图 3.11(b)， 情 况 就 不 同 了 。 
(1) A 可 以 从 此 目录 中 获得 Xi 签署 的 Xs 的 证 书 。 由 于 A 确切 知道 Xi 的 公 钥 ， 从 Xi 
的 证 书 中 就 可 以 获得 Xs 的 公 钥 ， 并 利用 Xi 来 证 实 。 
(2) 进一步 A 能 获得 Xz 签 署 的 B 的 证 书 ， 并 可 以 用 已 经 获得 的 Xs 的 公 钥 来 证 实 B 的 
数字 签名 ， 安 全 地 获得 B 的 公 钥 。 
这 样 ， 就 形成 了 证 书 链 。 其 中 ，A 获得 B 的 公 钥 的 证 书 链 ， 在 X.509 中 的 表示 为 
Xe 人 SRRBSS 
同 理 ，B 通过 反 向 链 也 可 以 获得 A 的 公 钥 ， 其 结构 表示 为 
<ASS 
这 样 证 书 链 形成 一 个 层次 结构 。X.509 建议 所 有 的 CA 证 书 须 由 CA 放 在 目录 中 ， 并 且 
要 采用 层次 结构 。 图 3.12 为 X.509 层次 结构 的 一 个 例子 , 其 内 部 节点 表示 CA， 叶 节点 表示 
户 。 用户 可 以 从 目录 中 沿 着 一 条 证 书 路 径 获 得 另 一 个 节点 的 证 书 和 公 钥 。 例如 ,A 获取 B 
F 书 的 证 书 路 径 为 
X<<W>>W<<V>>V<<Y>>Y<<Z>>Z<<B>> 
A 取得 这 些 证 书后 ， 就 能 解密 其 证 书 路 径 ， 获 得 一 个 可 信 的 B 的 公 钥 。 
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U<<W>> U 
V<<U>> Cu 























































V<<W>> V<<Y>> 
W<<V>> Y<<V>> 
Ne Ye 
> 2 
X<<C>> c 


























X<<A>> 


图 3.12 X.509 层次 结构 的 一 个 例子 








Z<<B>> 








4. X.509 验证 过 程 


图 3.13 为 X.509 建议 的 3 种 验证 过 程 : 一 次 验证 过 程 、 二 次 验证 过 程 和 三 次 验证 过 程 。 











© 四 AtrAlTAIIDallSgnDatallEpkalIKAe]} ® 
(a) 一 次 验证 
加 AUrAlTAIIDallSgnDatallEpke[KAs]} 
CQ) ©@B{TIre lIrallSgnDatallEpx, [Keal} (B) 
(b) 二 次 验证 
四 AfrAlTAILIDallSgnDatallEpka[KAs]} 
Gy ©@B{ TeallrarllSenDatal|Epx, [Kea]} 
@Atre} 
(0) 三 次 验证 


图 3.13 XX.509 的 3 种 验证 过 程 


这 3 种 验证 过 程 都 是 使 用 公 钥 签名 技术 ， 并 假定 通信 双方 都 认可 目录 服务 器 获得 对 方 
的 公 钥 证 书 ， 或 对 方 最 初 发 来 的 报 文中 包括 公 钥 证 书 ( 即 双方 都 知道 对 方 的 公 钥 )。 
1) 一 次 验证 





一 次 验证 也 称 为 单 向 验证 。 被 验证 者 A 产生 报 文 供 验 证 者 B 验证 。 包 括 如 下 内 容 。 
(1) IDe: B 的 身份 。 


(2) TA: 时 间 惟 ， 以 保证 报 文 的 新 鲜 性 。 其 中 可 以 包括 报 文 产生 的 时 间 〈 可 选 ) 和 截 
止 时 间 ， 以 处 理 报 文 传送 过 程 中 可 能 出 现 的 时 延 。 


(3) rma: 一 次 性 随机 数 ， 防 止 重 放 。 在 报 文 未 到 截止 时 间 前 是 唯一 的 ， 以 拒绝 具有 相同 
从 的 其 他 报 文 。 


如 果 仅 仅 为 了 验证 ， 可 以 上 述 报 文 作为 作证， 否则， 还 应 包括 下 列 内 容 。 
(1) A 用 自己 的 公 钥 签署 的 数字 签名 SgnData， 以 保证 信息 的 真实 性 和 完整 性 。 
(2) 由 B 的 公 钥 加 密 的 双方 会 话 密 钥 KAe。 


2) 二 次 验证 








二 次 验证 也 称 为 双方 验证 ， 即 A 不 仅 要 向 B 发 送 验证 凭证 信息 ，B 也 要 通过 应 答 以 证 
明 以 下 几 点 。 
(1) IDe 的 身份 。 
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(2) 应 答 是 由 了 B 发 出 的 。 

(3) 应 答 的 接收 者 是 A。 

(4) 应 答 报 文 是 完整 的 和 新 鲜 的 。 

3) 三 次 验证 

三 次 验证 是 在 二 次 验证 完成 之 后 ，A 再 将 B 发 来 的 一 次 性 随机 数 签名 后 发 往 B。 这 样 
通过 检查 一 次 性 随机 数 就 可 以 得 知 是 否 有 重 放 ， 而 不 需要 检查 时 间 惟 。 这 种 方法 主要 用 在 
通信 双方 无 法 建立 时 钟 同步 的 情形 。 


3.3.3 ”公开 密 钥 基 础 设施 
1. PKI 及 其 职能 


公开 密 钥 基础 设施 (Public Key Infrastructure，PKI) 是 20 世纪 80 年 代 在 公开 密 钥 理 论 
和 技术 的 基础 上 发 展 起 来 的 为 电子 商务 提供 综合 、 安 全 基础 平台 的 技术 和 规范 。 它 的 核心 
是 对 信任 关系 的 管理 。 通 过 第 三 方 信任 ， 为 所 有 网 络 应 用 透明 地 提供 加 密 和 数字 签名 等 密 
码 服务 所 必需 的 密 钥 和 证 书 管理 ， 从 而 达到 保证 网 上 传递 数据 的 安全 、 真 实 、 完 整 和 不 可 
抵赖 的 目的 。PKI 的 基础 技术 包括 加 密 、 数 字 签 名 、 数 据 完 整 性 机 制 和 双重 数字 签名 等 。 利 
用 PKI 可 以 方便 地 建立 和 维护 一 个 可 信 的 网 络 计算 环境 ， 建 立 一 种 信任 机 制 ， 使 人 们 在 这 
个 无 法 相互 见面 的 环境 中 ， 能 够 确认 对 方 的 身份 和 信息 ， 从 而 为 电子 支付 、 网 上 交易 、 网 
上 购物 和 网 上 教育 等 提供 可 靠 的 安全 保障 。 

PKI 系统 的 建立 着 眼 于 用 户 使 用 证 书 及 相关 服务 的 便利 性 以 及 用 户 身份 认证 的 可 靠 性 。 
具体 职能 如 下 。 

(1) 制定 完整 的 证 书 管理 政策 。 

(2) 建立 高 可 信 度 的 CA 中 心 。 

(3) 负责 用 户 属性 管理 、 用 户 身份 隐私 的 保护 和 证 书 作废 列表 的 管理 。 

(4) 为 用 户 提供 证 书 和 CRL 有 关 服 务 的 管理 。 

(5) 建立 安全 和 相应 的 法 规 ， 建 立 责任 划分 并 完善 责任 政策 。 

因此 , PKI 是 一 个 使 用 公 钥 和 密码 技术 实施 并 提供 安全 服务 的 、 具 有 普 适 性 的 安全 基础 
设施 的 总 称 ， 并 不 特 指 某 一 密码 设备 及 其 管理 设备 。 可 以 说 ， 它 是 生成 、 管 理 、 存 储 、 颁 
发 和 撤销 基于 公开 密码 的 公 钥 证 书 所 需要 的 硬件 、 软 件 、 人 员 、 策 略 和 规程 的 综合 。 

2. PKI 的 组 成 

通常 CA 分 成 不 同 的 一 些 层 次 。 一 个 典型 PKI 体系 结构 如 图 3.14 所 示 。 其 中 ，PAA 为 
政策 批准 机 构 ，PCA 为 政策 认证 机 构 ，ORA (Online Registration Authority) 为 在 线 注册 机 
构 。 它 们 的 区 别 在 于 政策 权限 不 同 : 下 层 的 证 书 要 由 上 层 颁 发 。 

1) 政策 批准 机 构 


政策 批准 机 构 (PAA) 是 一 个 PKI 系统 方针 的 制定 者 , 它 建立 整个 PKI 体系 的 安全 策略 ， 
批准 本 PAA 下 属 的 PCA 的 政策 ， 为 下 属 PCA 签发 证 书 ， 并 负 有 监控 各 PCA 行为 的 责任 。 
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图 3.14 典型 的 PKI 体系 结构 


2) 政策 认证 机 构 





PCA 指定 自身 的 具体 政策 。 这 些 政策 可 以 是 其 上 级 PAA 政策 的 扩充 或 细 化 (包括 本 
PCA 范围 内 密 钥 的 产生 、 密 钥 的 长 度 、 证 书 的 有 效 期 规定 以 及 CRL 一 一 被 吊销 的 证 书 列表 


的 管理 )， 并 为 下 属 CA 签发 公 钥 证 书 。 
3) 认证 机 构 


CA 具有 有 限 政策 制定 权限 ， 它 在 上 级 PCA 政策 范围 内 ， 进 行 具体 的 用 户 公 钥 证 书 的 


签发 、 生 成 和 发 布 以 及 CRL 的 生成 和 发 布 。 
4) 在 线 注册 机 构 


ORA 进行 证 书 申请 者 的 身份 认证 ， 向 CA 提交 证 书 申请 ， 验 证 接收 CA 签发 的 证 书 ， 


并 将 证 书 发 放 给 申请 者 。 有 时 还 协助 进行 证 书 的 制作 。 
实验 8 证 书 制作 及 CA 系统 配置 
1. 实验 目的 


(1) 深入 理解 PKI 系统 的 工作 原理 。 

(2) 掌握 在 一 种 系统 中 配置 CA 系统 的 方法 。 
(3) 掌握 证 书 的 申请 及 制作 方法 。 

(4) 体会 SSL 的 作用 。 


2. 实验 内 容 


(1) 选择 一 个 系统 ， 进 行 CA 系统 的 配置 。 

(2) 为 服务 器 和 浏览 器 之 间 的 安全 通信 进行 设置 。 
(3) 为 某 些 用 户 生成 证 书 。 

(4) 测试 上 述 通信 的 安全 性 。 


3. 建议 环境 




















(1) 利用 在 Windows 2000 Server 中 附加 的 认证 服务 器 , 进行 Windows 2000 PKI 系统 的 
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配置 。 
(2) 利用 Linux 平台 上 的 SSL X.509 或 FHS 进行 实验 。 
4. 实验 准备 
(1) 收集 资料 ， 设 计 在 实验 用 系统 中 进行 CA 系统 配置 的 步骤 。 
(2) 设计 在 实验 用 系统 中 进行 安全 通信 配置 的 步骤 。 
(3) 设计 为 用 户 生成 证 书 的 方法 和 步骤 。 
(4) 设计 对 上 述 系统 配置 进行 通信 安全 测试 的 方法 和 步骤 。 


5. 推荐 的 分 析 讨 论 内 容 


(1) 你 知道 有 哪些 证 书 标准 ? 
(2) 你 知道 有 哪些 通信 安全 协议 ? 试 进行 比较 。 
(3) 其 他 发 现 或 想到 的 问题 。 


3.4 ”信息 系统 访问 授权 


一 个 信息 系统 当然 不 允许 非法 用 户 访问 ， 即 使 是 合法 用 户 ， 也 不 是 就 可 以 访问 系统 的 
所 有 资源 或 者 对 系统 的 某 一 资源 进行 为 所 和 欲 为 的 访问 操作 。 系 统 访问 控制 就 是 基于 这 种 考 
虑 的 安全 机 制 。 

访问 控制 分 为 系统 访问 控制 和 网 络 访问 控制 。 

系统 访问 控制 是 从 系统 资源 安全 保护 的 角度 对 访问 进行 授权 控制 。 它 从 访问 的 角度 将 
系统 对 象 分 为 主体 (subject) 和 客体 (object) 两 类 。 主 体 也 称 为 访问 发 起 者 ， 主 要 指 用 户 、 
用 户 组 、 进 程 以 及 服务 等 ， 客 体 也 称 为 资源 ， 主 要 指 文件 、 目 录 和 计算 机 等 。 授 权 就 是 赋 
予 主体 一 定 的 权限 修改 、 查 看 等 )， 赋 予 客体 一 定 的 访问 属性 (如 读 、 写 、 添 加 、 执 行 、 
发 起 连接 等 )， 同 时 在 主体 与 客体 之 间 建 立 一 套 安全 访问 规则 ， 通 过 对 客体 的 读 出 、 写 入 、 
修改 、 删 除 、 运 行 等 的 管理 ， 确 保 主 体 对 客体 的 访问 是 经 过 授权 的 ， 同 时 要 拒绝 非 授权 的 
访问 ， 以 保证 信息 的 机 密 性 、 完 整 性 和 可 用 性 。 
3.4.1 访问 控制 的 二 元 关系 描述 

访问 控制 用 一 个 三 元 组 (控制 对 象 ， 访 问 类 型 ) 来 表示 。 其 中 的 控制 对 象 表示 系统 中 
一 切 需要 进行 访问 控制 的 资源 ， 访 问 类 型 是 指 对 于 相应 的 受 控 对 象 的 访问 控制 ， 如 读 取 、 
修改 、 删 除 等 。 

访问 控制 二 元 组 有 许多 描述 形式 。 下 面 介绍 几 种 常用 的 形式 。 

1. 访问 控制 矩阵 

访问 控制 矩阵 也 称 为 访问 许可 矩阵 ， 它 用 行 表示 客体 ， 列 表示 主体 ， 在 行 和 列 的 交叉 
点 上 设 定 访问 权限 。 表 3.1 是 一 个 访问 控制 矩阵 的 例子 。 表 中 ， 一 个 文件 的 Own 权限 的 含 
义 是 可 以 授予 (authorize) 或 者 撤销 (revoke) 其 他 用 户 对 该 文件 的 访问 控制 权限 。 例 如 ， 
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张 三 对 Filel 具有 Own 权限 ， 所 以 张 三 可 以 授予 或 撤销 李 四 和 王 五 对 Filel 的 读 (R) 和 写 


(W) 权限 。 


主体 


李 四 
王 五 


2. 授权 关系 表 





表 3.1 一 个 访问 控制 矩阵 的 例子 


File4 


授权 关系 表 (authorization relations) 描述 了 主体 和 客体 之 间 各 种 授权 关系 的 组 合 。 
表 3.2 为 表 3.1 的 授权 关系 表 。 


表 3.2 授权 关系 表 的 一 个 例子 























主体 客 休 
张 三 rile! 
张 三 | Piel 
张 三 rile! 
张 三 me 
张 三 | «| rile 
张 三 Pie 
李 | «| Pi 
地 四 Piez 
地 四 | «| mile 
地 四 rile 
李 四 WwW File3 
李 四 R File4 
王 五 R Filel 
王 五 Ww Filel 
王 五 R File2 
上 这 Own File4 
王 五 R File4 
王 五 Ww File4 
授权 关系 表 便 于 使 用 关系 数据 库 进 行 存储 。 只 要 按照 客体 进行 排序 ， 就 得 到 了 与 访问 








能 力 表 相当 的 二 维 表 ; 按照 主体 进行 排序 ， 就 得 到 了 与 访问 控制 表 相 当 的 二 维 表 。 








例如 ， 当 用 户 或 应 








程序 试图 访问 一 个 文件 时 ， 首 先 需 要 通过 系统 调用 打开 文件 。 在 


打开 文件 之 前 ， 访 问 控制 机 制 被 调用 。 访 问 控制 机 制 利用 访问 控制 表 、 访 问 能 力 表 或 访问 











控制 矩阵 等 ， 检 查 用 户 














的 访问 权限 ， 如 果 在 用 户 的 访问 权限 内 ， 则 可 以 继续 打开 文件 ， 如 


we 


果 用 户 超出 授权 权限 ， 则 访问 被 拒绝 ， 产 生 错误 信息 并 退出 。 
3. 访问 能 力 表 


能 力 〈capability) 也 称 为 权能 ， 是 受 一 定 机 制 保护 的 客体 标志 ， 标 记 了 某 一 主体 对 客 
体 的 访问 权限 : 某 一 主体 对 某 一 客体 有 无 访问 能 力 ， 表 示 了 该 主体 能 不 能 访问 那个 客体 ; 
而 具有 什么 样 的 能 力 ， 表 示 能 对 那个 客体 进行 一 些 什么 样 的 访问 。 它 也 是 一 种 基于 行 的 自 
主 访问 控制 策略 。 图 3.15 是 表 3.1 所 示 的 访问 控制 矩阵 的 访问 能 力 表 表 示 。 


张 三 一 一 Filel File3 

Own 

R R 

W Ww 

李 四 一 一 | Filel File2 File3 File4 
Own 

R R Ww R 
W 

. . . 

王 五 一 一 Filel File2 File4 

7 Own 

R R R 

W W 


图 3.15 访问 能 力 表 的 例子 


访问 能 力 表 允 许 在 进程 运行 期 间 动 态 地 发 放 、 回 收 、 删 除 或 增加 某 些 权力 ， 执 行 速度 
比较 快 ， 还 可 以 定义 一 些 系统 事先 不 知道 的 访问 类 型 。 此 外 ， 访 问 能 力 表 着 眼 于 某 一 主体 
的 访问 权限 ， 从 主体 出 发 描述 控制 信息 ， 很 容易 获得 一 个 主体 所 被 授权 可 以 访问 的 客体 及 
其 权限 ， 但 要 从 客体 出 发 获得 哪些 主体 可 以 访问 它 就 困难 了 。 目 前 使 用 访问 能 力 表 实 现 的 
自主 访问 控制 系统 已 经 不 多 。 


4. 访问 控制 表 


访问 控制 表 (Access Control List，ACL ) 与 访问 能 力 表 正 好 相反 ， 是 从 客体 出 发 描述 
控制 信息 ， 可 以 用 来 对 某 一 资源 指定 任意 一 个 用 户 的 访问 权限 。 这 种 方式 给 每 个 客体 建立 
一 个 ACL (访问 控制 表 )， 记 录 该 客体 可 以 被 哪些 主体 访问 以 及 访问 的 形式 。 它 是 一 种 基于 
列 的 自主 访问 控制 策略 。 图 3.16 是 表 3.1 的 访问 控制 表 表示 。 可 以 看 出 ， 每 个 ACL 包括 一 
个 ACL 头 和 零 个 或 多 个 ACE 访问 控 制 项 )。 

ACL 的 优点 是 可 以 很 容易 地 查 出 对 某 一 特定 资源 拥有 访问 权 的 所 有 用 户 ， 有 效 地 实施 
授权 管理 ， 是 目前 采用 得 最 多 的 一 种 实现 形式 。Windows NT/2000/XP 的 资源 文件、 设备 、 
邮件 槽 、 已 命名 的 和 未 命名 的 管道 、 进 程 、 线 程 、 事 件 、 互 斥 体 、 信 号 量 、 可 等 待定 时 器 、 
访问 令 牌 、 窗 口 站 、 网 络 共享 、 服 务 、 注 册 表 和 打印 机 等 ) 访问 就 是 采用 这 种 方式 。 

ACL 适合 按照 对 象 进行 访问 的 操作 系统 。 但 是 使 用 ACL 进行 访问 权限 的 管理 ， 仅 依靠 
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Filel 一 一 | 张 三 李 四 王 五 
Own 
R R 
W 
File2 一 一 一 李 四 于 起 
Own 
R R 
W 
File3 一 -一 | 张 三 李 四 
Own 
R 
WwW W 
File4 一 -一 李 四 玉 五 
Own 
R R 
Ww 


图 3.16 访问 控制 表 的 例子 


单个 主体 非常 麻烦 。 为 此 ， 通 常 将 用 户 按 组 进行 组 织 ， 用 户 也 可 以 从 用 户 组 取得 访问 权限 。 
在 UNIX 中 , 附 在 文件 上 的 简单 的 ACL 允许 对 用 户 、 组 和 其 他 三 类 主体 规定 基本 访问 模式 。 


3.4.2 ”自主 访问 控制 与 强制 访问 控制 


资源 的 所 有 者 往往 是 资源 的 创建 者 。 大 多 数 操作 系统 支持 资源 所 有 权 的 概念 ， 并 且 在 
决定 访问 控制 策略 时 考虑 资源 所 有 权 。 基 于 所 有 权 的 访问 控制 可 以 有 两 种 基本 的 策略 : 自 
主 访问 控制 (Discretionary Access Control, DAC) 和 强制 访问 控制 (Mandatory Access Control， 
MAC )。 


1. 自主 访问 控制 策略 


自主 访问 控制 是 目前 计算 机 系统 中 应 用 最 广泛 的 一 种 策略 ， 主 流 操 作 系统 Windows 
Server、UNIX 系统 ， 以 及 防火 墙 (ACL) 等 都 是 采用 自主 型 的 访问 控制 策略 。 它 的 基本 思 
想 是 ， 资 源 的 所 有 者 可 以 对 资源 的 访问 进行 控制 ， 任 意 规定 谁 可 以 访问 其 资源 ， 自 主 地 直 
接 或 间接 地 将 权限 传 给 (分 发 给 ) 主体 。 例如 ,用户 A 对 客体 O 具有 访问 权限 , 而 B 没有 。 
当 A 将 对 0 的 访问 权限 传递 给 B 后 ，B 就 有 了 对 0 的 访问 权限 。 

口令 (password) 机 制 就 是 一 种 基于 行 的 自主 访问 控制 策略 。 它 要 求 每 个 客体 都 相应 地 
有 一 个 口令 。 主 体 对 客体 进行 访问 前 ， 必 须 向 操作 系统 提供 该 客体 的 口令 。 采 用 这 种 机 制 
的 系统 有 IBM 公司 的 MVS 和 CDC 公司 的 MOS 等 。 

DAC 的 优点 是 应 用 灵活 与 可 扩展 ， 所 以 经 常 被 用 于 商业 系统 。 其 缺点 是 ， 权 限 传递 很 
容易 造成 漏洞 ， 安 全 级 别 比 较 低 ， 不 太 适 合 网 络 环境 ， 主 要 用 于 单个 主机 。 

通常 DAC 通过 访问 控制 矩阵 来 限定 哪些 主体 针对 哪些 客体 可 以 执行 什么 操作 。 但 是 ， 
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目前 操作 系统 在 实现 自主 访问 控制 时 ， 不 是 利用 整个 访问 控制 矩阵 ， 而 是 基于 访问 控制 矩 
阵 的 行 或 列 来 表达 访问 控制 信息 。 这 样 就 可 以 非常 灵活 地 对 策略 进行 调整 。 


2. 强制 访问 控制 策略 


强制 访问 控制 (MAC ) 也 称 为 系统 访问 控制 ， 它 的 基本 思想 是 系统 要 “强制 ”主体 服 
从 访问 控制 政策 ;系统 〈 系 统管 理 员 ) 给 主体 和 客体 分 配 了 不 同 的 安全 属性 ， 用 户 不 能 改 
变 自 身 或 任何 客体 的 安全 属性 ， 即 不 允许 单个 用 户 确定 访问 权限 ， 只 有 系统 管理 员 才 可 以 
确定 用 户 或 用 户 组 的 访问 权限 。 

MAC 主要 用 于 多 层次 安全 级 别 的 系统 (如 军事 系统 ) 中 。 它 预先 将 主体 和 客体 进行 分 
级 ， 定 义 出 一 些 安 全 等 级 〈 如 高 密级 、 机 密级 、 秘 密级 、 无 密级 等 ) 并 用 对 应 的 标签 进行 
标识 : 对 于 主体 称 为 许可 级 别 和 许可 标签 ， 对 于 客体 称 为 安全 级 别 和 敏感 性 标签 。 用 户 必 
须 遵守 依据 安全 策略 划分 的 安全 级 别 的 设 定 以 及 有 关 访 问 权 限 的 设 定 。 

由 于 主体 有 既定 的 许可 级 别 ， 客 体 也 有 既定 的 安全 级 别 ， 因 此 主体 对 客体 能 否 执行 特 
定 的 操作 ， 取 决 于 两 者 的 安全 属性 之 间 的 关系 。 例 如 ， 对 于 信息 《文件 ) 的 访问 ， 可 以 定 
义 如 下 4 种 关系 。 

(1) 下 读 (read down): 用 户 级 别 高 于 信息 级 别 的 读 操 作 。 

(2) 上 读 (read up): 用 户 级 别 低 于 信息 级 别 的 读 操作 。 

(3) 下 写 (write down): 用 户 级 别 高 于 信息 级 别 的 写 操作 。 

(4) 上 写 (write up): 用 户 级 别 低 于 信息 级 别 的 写 操作 。 

当 用 户 提 出 访问 请 求 时 ， 系 统 对 主体 和 客体 的 安全 属性 进行 比较 ， 来 决定 该 主体 是 否 
可 以 对 所 请 求 的 客体 进行 访问 。 当 一 个 主体 (进程) 要 访问 客体 ， 其 许可 标签 必须 满足 下 
面 的 条 件 。 

(1) 主体 若 要 对 客体 具有 写 访 问 的 权限 ， 则 其 许可 级 别 必须 被 客体 的 安全 级 别 支 配 。 

(2) 主体 若 要 对 客体 具有 读 访问 的 权限 ， 则 其 许可 级 别 必须 支配 被 客体 的 安全 级 别 。 

在 典型 的 应 用 中 ，MAC 使 用 两 种 访问 控制 关系 : 上 读 / 下 


写 (用 来 保证 数据 完整 性 ) 和 下 读 / 上 写 ( 用 来 保证 数据 机 密 性 )。 
下 读 / 上 写 相 当 于 在 一 个 层次 组 织 中 ， 上 级 可 以 看 下 级 的 资料 ， 
高 密 高 密 


而 下 级 不 能 看 上 级 的 资料 ， 但 可 以 向 上 级 写 资料 ， 图 3.17 为 下 
读 /上 写 的 示意 图 。 

MAC 比 DAC 具有 更 强 的 访问 控制 能 力 ， 但 是 实现 的 工作 
量 大 ， 管 理 不 便 ， 不 够 灵活 。 


秘密 
强制 访问 控制 和 自主 访问 控制 有 时 会 结合 使 用 。 例 如 ， 系 
统 可 能 首先 执行 强制 访问 控制 来 检查 用 户 是 否 有 权限 访问 一 个 区 Eh 
文件 组 (这 种 保护 是 强制 的 ， 也 就 是 说 ， 这 些 策略 不 能 被 用 户 
更 改 )， 然 后 再 针对 该 组 中 的 各 个 文件 制定 相关 的 访问 控制 表 图 3.17 下 读 /上 写 示意 图 
(自主 访问 控制 策略 )。 
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3.4.3 ”基于 角色 的 访问 控制 策略 


角色 (role) 是 指 一 个 组 织 或 任务 中 的 岗位 、 职 位 或 分 工 。 角 色 需 要 人 去 扮演 。 一 般 说 
来 ， 一 个 角色 并 非 只 有 一 人 扮演 ， 如 会 计 这 个 角色 往往 需要 多 个 人 ; 并 且 一 个 人 可 能 会 从 
事 不 同 的 角色 。 基 于 角色 的 访问 控制 (Role-Base Access Control，RBAC) 就 是 基于 这 样 一 
种 考虑 而 提出 的 访问 控制 策略 。 由 于 角色 比 个 体 用 户 具 有 较 大 的 稳定 性 ， 这 种 授权 管理 比 
针对 个 体 的 授权 管理 在 可 操作 性 和 可 管理 性 方面 都 要 强 得 多 。 

如 图 3.18 所 示 ， 角 色 实 际 上 是 在 主体 (用 户 ) 与 客体 之 间 引 入 的 中 间 控 制 机 制 层 。 


客体 ! 



































用 户 1 





客体 2 
用 户 2 客体 























用 户 3 客体 3 
图 3.18 角色 是 在 主体 与 客体 之 间 引 入 的 中 间 控 制 机 制 层 


在 RBAC 系统 中 ， 要 求 明 确 地 区 分 权限 〈authority) 和 职责 (responsibility) 或 区 分 操 
作 与 管理 ， 使 两 者 互相 制约 。 

例 3.1 一 位 科 长 可 以 对 所 在 的 科 里 的 成 员 发 号 施 令 ， 而 并 不 能 对 其 他 科 的 科 员 发 号 施 
令 。 因 为 从 权力 上 看 ， 他 是 科 长 ， 而 从 职责 上 来 说 ， 他 只 是 某 一 个 科 的 科 长 ， 并 非 所 有 科 
的 科 长 。 与 之 相仿 ， 对 于 一 个 具有 高 密级 〈0 级 ) 许可 级 的 用 户 来 说 ， 并 不 可 以 访问 所 有 安 
全 级 别 为 0 级 的 资源 。 因 为 有 些 资源 不 在 他 的 职责 范围 内 。 

例 3.2 一 个 可 以 访问 某 个 资源 集合 的 用 户 ， 并 不 能 进行 该 资源 集合 的 访问 授权 。 因 为 
他 没有 这 个 权限 。 

例 3.3 一 位 安全 主管 有 权 进 行 授权 分 配 ， 但 不 能 同时 具有 访问 数据 资源 的 权力 。 

由 于 实现 了 权限 与 职责 的 逻辑 分 离 ， 基 于 角色 的 策略 极 大 地 方便 了 权限 管理 。 例 如 ， 
如 果 一 个 用 户 的 职位 发 生变 化 ， 只 要 将 用 户 当 前 的 角色 去 掉 ， 加 入 代表 新 职务 或 新 任务 的 
角色 即 可 。 基 于 角色 的 访问 控制 方法 还 可 以 很 好 地 描述 角色 层次 关系 ， 实 现 最 少 权限 原则 
和 职责 分 离 的 原则 ， 非 常 适 合 在 数据 库 应 用 层 的 访问 控制 。 因 为 在 应 用 层 ， 角 色 的 概念 比 
较 明 显 。 

角色 由 系统 管理 员 定义 ， 角 色 成 员 的 增 减 也 只 能 由 系统 管理 员 执 行 ， 只 有 系统 管理 员 
才 有 权 定 义 和 分 配角 色 ， 并 且 授 权 规则 是 强加 给 用 户 的 ， 用 户 只 能 被 动 地 接受 ， 不 能 自主 
地 决定 。 但 是 ， 角 色 的 控制 比较 灵活 ， 根 据 需要 可 以 将 某 些 角色 配置 得 接近 DAC， 而 让 某 
些 角色 接近 MAC。 


实验 9 用 户 账户 管理 与 访问 权限 设置 
1. 实验 目的 
(1) 掌握 在 一 个 系统 中 进行 用 户 账户 管理 的 方法 。 
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(2) 掌握 在 一 个 系统 中 进行 访问 权限 设置 的 方法 。 

2. 实验 内 容 

(1) 在 一 个 系统 中 进行 用 户 账户 管理 (若是 在 Linux 系统 中 ， 需 考虑 添加 批量 用 户 ) 和 
安全 设置 。 

(2) 在 一 个 系统 中 进行 访问 权限 设置 (若是 在 Windows 2000 以 上 的 系统 中 ， 需 基于 
NTFS 进行 设置 )。 


3. 建议 环境 
在 一 种 操作 系统 环境 (如 Linux 或 Windows) 下 设置 账号 和 访问 权限 ， 进 行 用 户 管理 。 
4. 实验 示范 一 一 Windows 中 账户 和 权限 的 设置 





Windows 2000/NT 拥有 强大 的 用 户 和 组 权限 管理 功能 ， 在 保护 系统 安全 方面 有 着 独特 
的 应 用 。 通 过 为 不 同 用 户 分 配 相应 权限 ， 可 以 限制 其 对 系统 重要 文件 或 目录 的 访问 ， 并 以 
此 达到 保护 系统 不 受到 病毒 和 黑客 侵犯 的 功能 。 

1) Windows 中 的 账户 设置 


(1) 单 击 “ 我 的 电脑 ”一 “控制 面板 ”， 打 开 “ 控 制 面板 ”对 话 框 ， 选 择 “用 户 账户 ” 
如 图 3.19 所 示 。 


和 控制 面板 
文件 (E) 编辑 (E) 查看 (Y) 收藏 地) 工具 (I) 帮助 (B) 
@@ 二 -上 日 - 访 轩辕 | 记 加 他 xtx | 固 - 


地 址 (0) | 四 榨 制 面板 


Ls 控制 面板 


E t 择 一 个 类 绚 | 
四 到 反 和 视图 gy 
2 打印 机 和 其 他 原件 
是 


请 参加 2 ~ 

indows Waste 

切 尹 助 和 去 持 := vw 
和 0 下 近 制 面板 过 项 


攻 添加 /删除 程序 > 日 期 、 时 间 、 语 言 和 区 域 设置 


六 ©) 克 音 、 语 音 和 音 狗 设备 > 铺 助 功 溪 选 项 


> 
MG 性 党 和 维护 0/ 安全 中 心 





图 3.19 “控制 面板 ”中 的 “用 户 账 户 ” 


(2) 双击 “用 户 账 户 ” 进入“ 用户 账户 ”窗口 ， 可 以 看 到 在 “挑选 一 项 任务 …” 中 有 
一 些 选项 ， 如 图 3.20 所 示 。 
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和 用 户 账 户 


国 用 忆 账 忆 类 型 一 
国 其 用 记 挑选 一 项 任务 ... 


a 
团 如 一个 亲 账户 
回 更 % 用 户 登 录 或 注销 的 方式 


或 挑 一 个 账户 做 更 改 


父亲 
受 限 的 账户 
~ 密码 保护 





图 3.20 “用 户 账户 ”窗口 
(3) 选择 “创建 一 个 新 账户 ”进入 “用 户 账户 ”窗口 中 的 “为 新 账户 起 名 ”页 面 ， 可 
以 为 新 账户 起 名 ， 如 图 3.21 所 示 。 


t 用户 账户 


为 新 账户 起 名 
为 新 账户 键入 一 个 名 称 I) 


ew user nane ABC 














这 个 名 称 会 出 现在 欢迎 屏 蔓 和 「 开 始 」 菜单 








图 3.21 为 新 账户 起 名 


(4) 为 新 用 户 输 入 一 个 名 称 后 ， 单 击 “ 下 一 步 ” 按 钮 ， 打 开 “ 挑 选 一 个 账户 类 型 ”页 
面 ， 可 以 为 新 用 户 选择 一 个 账户 类 型 。 图 3.22 为 选择 “计算 机 管理 员 ” 选 项 时 的 页 面 。 

这 类 账户 的 权力 如 下 。 

9 创建 、 更 改 和 删除 账户 。 

@ 进行 系统 范围 的 更 改 。 

@ 安装 程序 并 访问 所 有 文件 。 
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了 解 二 


使 用 计算 机 管理 员 账户 , 修 可 以 
. 改 和 山 除 账户 





进行 系统 范围 的 更 疏 
。 安装 程序 并 访问 所 有 文件 








[CE | CE 

















图 3.22 ”挑选 一 个 账户 类 型 一 一 计算 机 管理 员 
图 3.23 为 选择 “ 受 限 ”账户 类 型 时 的 页 面 。 


了 解 i 
国 用 户 账 户 类 型 挑选 一 个 账户 类 型 


O 〇 计算 机 管理 员 W) 四 本 限 四 


人 您 可 以 
改 或 删除 修 的 密码 
Ss 人 
i 
半生 让 仙 时 局 抠 寺 宫 先知 邱 > 根据 程序 的 不 同 ， 用 户 可 能 需要 管理 员 权限 
在 Winaows XP 或 Windows 2000 之 前 设计 的 程序 可 能 在 受 限制 的 账户 中 不 能 


同样 ， 
正确 运行 。 为 获 宰 最 佳 效 果 ， 请 选择 有 Desi ened for Windows XP 微 标的 程序 ,或 者 
要 运行 旧 的 程序 ， 选择 “计算 机 管理 员 ” 账 户 关 型 


CE CE WN) 





图 3.23 ”挑选 一 个 账户 类 型 一 一 受 限 


这 类 账户 的 权力 如 下 。 

Q 更 改 或 删除 自己 的 密码 。 

@ 更 改 自 己 的 图 片 、 主 题 和 其 他 桌面 设置 

@ 查看 自己 创建 的 文件 。 

@ 在 共享 文档 文件 夹 中 查看 文件 。 

(5) 用 户 类 型 选择 后 ， 单 击 “ 创 建 账户 ”按钮 ， 系 统 进入 如 图 3.24 所 示 的 页 面 ， 提 示 
对 新 建 账户 可 以 进行 的 操作 选项 。 

(6) 选择 “创建 密码 ”选项 ， 进 入 如 图 3.25 所 示 的 页 面 ， 在 “输入 一 个 新 密码 ”文本 
框 中 输入 密码 

这 样 ， 以 后 再 次 启动 系统 时 ， 就 会 要 求 先 输入 账号 和 密码 。 不 同 的 账户 也 可 以 把 自己 
的 私人 文档 保存 到 “我 的 文档 ”文件 夹 中 ， 把 该 文件 夹 设置 为 专用 。 
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《new user name ABC 的 


mew user nane ABC 
的 账户 


EC 


BE 
加 更 图 上 
加 更 账户 类 型 


删除 账户 





图 3.24 ”选择 对 新 建 账户 的 操作 


+ 用 户 账户 国 回 加 


9] 的 账户 
国正 看 当 一 个 安全 码 J new user name ABC HJ 
正在 创建 一 个 好 的 密码 提 您 正在 为 nex user nane ABC 创建 密码 。 如 果 疾 这 祷 做 ， ne user nane ABC 
国 
示 2 EFS 加 密 的 文件 ， 个 人 证 书 以 及 保存 的 网 站 或 网 络 资源 的 


国 正在 记 住 一 个 密码 
要 防止 在 格 来 丢失 数据 ,要求 nex user nane ABC 制作 一 张 密码 重 设 软盘 。 


辆 入 一 个 新 密码 








再 次 输入 密码 以 确认 








如 果 密 码 包含 大 写字 母 ， 它 们 每 次 都 必须 以 相同 的 大 小 写 方式 输入 。 


输入 一 个 单词 或 短语 作为 密码 提示 














所 有 使 用 这 台 计算 机 的 人 都 可 以 看 见 密码 提示 。 





图 3.25 为 新 账户 创建 密码 


2) Windows 2000/NT 中 的 组 策略 


在 Windows 2000/NT 中 ， 用 户 被 分 成 许多 组 ， 组 和 组 之 间 都 有 不 同 的 权限 。 当 然 ， 一 
个 组 的 用 户 和 用 户 之 间 也 可 以 有 不 同 的 权限 。 下 面 是 一 些 常用 的 组 。 

(1) Administrators (管理 员 组 )。 

管理 员 可 以 执行 操作 系统 所 支持 的 所 有 功能 。Windows 2000/NT 默认 安全 设置 不 限制 
管理 员 对 任何 注册 表 或 文件 系统 对 象 的 访问 。 只 有 受信 任 的 人 员 才 可 以 成 为 该 组 成 员 。 

(2) Power Users (高 级 用 户 组 )。 

在 权限 设置 中 , 这 个 组 的 权限 是 仅 次 于 Administrators 组 的 。 Power Users 可 以 执行 除了 
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为 Administrators 组 保留 的 任务 以 外 的 其 他 任何 操作 系统 任务 。 分 配给 Power Users 组 的 默 
认 权限 允许 Power Users 组 的 成 员 修改 整个 计算 机 的 设置 ， 但 Power Users 不 具有 将 自己 添 
加 到 Administrators 组 的 权限 。 

(3) Users 〈 普 通用 户 组 )。 

Users 组 提供 了 一 个 最 安全 的 程序 运行 环境 ,默认 安全 设置 则 在 禁止 该 组 的 成 员 危 及 操 
作 系 统 和 已 安装 程序 的 完整 性 。 系 统 对 这 个 组 赋予 的 权限 如 下 。 

@ 该 组 的 用 户 可 以 运行 经 过 验证 的 应 用 程序 ， 但 不 可 以 运行 大 多 数 旧 版 应 用 程序 。 

@ Users 可 以 关闭 工作 站 ， 但 不 能 关闭 服务 器 。 

图 Users 可 以 创建 本 地 组 ， 但 只 能 修改 自己 创建 的 本 地 组 。 

@ Users 不 能 修改 系统 注册 表 设 置 、 操 作 系统 文件 或 程序 文件 ， 不 允许 该 组 成 员 修改 
操作 系统 的 设置 或 用 户 资料 。 

(4) Guests (来宾 组 )。 

Guests 与 普通 Users 的 成 员 有 同等 访问 权 ， 但 来 宾 账 户 的 限制 更 多 。 

(5) Everyone (所 有 的 用 户 )。 

计算 机 上 的 所 有 用 户 都 属于 这 个 组 。 

实际 上 ， 还 有 一 个 组 也 很 常见 ， 它 拥有 和 Administrators 一 样 甚至 比 其 更 高 的 权限 ， 但 
是 这 个 组 不 允许 任何 用 户 的 加 入 ， 在 查看 用 户 组 的 时 候 ， 它 也 不 会 被 显示 出 来 ， 它 就 是 
System 组 。 

3) Windows 2000 的 NTFS 系统 


新 技术 文件 系统 (New Technology File System，NTFS ) 是 Microsoft 公司 为 了 弥补 文件 
分 配 表 〈File Allocation Table，FAT) 系统 的 一 些 不 足 而 推出 的 一 项 技术 ， 其 最 大 的 改进 就 
是 容错 性 和 安全 性 能 。 

基于 NTFS 卷 进行 访问 权限 设置 非常 简单 。 右 击 一 个 NTFS 卷 或 NTFS 卷 下 的 一 个 目录 ， 
在 快捷 菜单 中 选择 “属性 ”一 “安全 ”选项 就 可 以 对 一 个 卷 或 者 一 个 卷 下 面 的 目录 进行 权 
限 设置 。 这 时 会 看 到 以 下 7 种 权限 。 

(1)“ 完 全 控制 ”就 是 对 此 卷 或 目录 拥有 不 受 限制 的 完全 访问 ， 像 Administrators 在 所 
有 组 中 的 地 位 一 样 。 选 中 了 “完全 控制 2” 下 面 的 5 项 属性 将 被 自动 选中 。 

(2)“ 修 改 ” 则 像 Power Users， 选 中 了 “修改 ”下 面 的 4 项 属性 将 被 自动 选中 。 当 下 
面 的 任何 一 项 没有 被 选中 时 ,“ 修 改 ” 条 件 将 不 再 成 立 。 

(3)“ 读 取 和 运行 ”就 是 允许 读 取 和 运行 在 这 个 卷 或 目录 下 的 任何 文件 。“ 列 出 文件 夹 
目录 ”和 “ 读 取 ”是 “ 读 取 和 运行 ”的 必要 条 件 。 

(4)“ 列 出 文件 夹 目录 ”是 指 只 能 浏览 该 卷 或 目录 下 的 子 目录 ,不 能 读 取 ， 也 不 能 运行 。 

(5)“ 读 取 ” 是 指 能 够 读 取 该 卷 或 目录 下 的 数据 。 

(6)“ 写 入 ”就 是 能 往 该 卷 或 目录 下 写 入 数据 。 

(7)“ 特 别 ” 则 是 对 以 上 6 种 权限 进行 细 分 。 
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5. 实验 准备 


(1) 设计 在 一 个 系统 中 进行 用 户 账户 管理 的 步骤 。 
(2) 设计 在 一 个 系统 中 进行 访问 权限 设置 的 步骤 。 


6. 推荐 的 分 析 讨论 内 容 


(1) 在 一 个 共用 系统 中 ， 应 当 根据 管理 权限 将 系统 的 访问 权限 分 成 不 同等 级 。 请 分 析 
当 每 个 人 都 具有 自己 的 非 私 密 性 文件 时 ， 为 保证 系统 的 安全 ， 比 他 的 权限 高 和 权限 低 的 人 
分 别 应 当 在 读 、 写 和 执行 3 种 访问 权限 方面 有 何 限制 ? 

(2) 其 他 发 现 或 想到 的 问题 。 


习题 
一 、 选 择 是 


. 用 数字 办 法 确认 、 鉴 定 、 认 证 网 络 上 参与 信息 交流 者 或 服务 器 的 身份 是 指 
A. 接 入 控制 B. 数字 认证 C. 数字 签名 D. 防火 墙 
. 身份 鉴别 是 安全 服务 中 的 重要 一 环 ， 以 下 关于 身份 鉴别 的 叙述 中 不 正确 的 是 
A. 身份 鉴别 是 授权 控制 的 基础 
B. 身份 鉴别 一 般 不 用 提供 双向 的 认证 
C. 身份 鉴别 目前 一 般 采用 基于 对 称 密 钥 加 密 或 公开 密 钥 加 密 的 方法 
D. 数字 签名 机 制 是 实现 身份 鉴别 的 重要 机 制 
. 以 下 关于 CA 认证 中 心 说 法 正确 的 是 电 
A. CA 认证 是 使 用 对 称 密 钥 机 制 的 认证 方法 
B. CA 认证 中 心 只 负责 签名 ， 不 负责 证 书 的 产生 
C. CA 认证 中 心 负责 证 书 的 颁发 和 管理 ， 并 依靠 证 书证 明 一 个 用 户 的 身份 
D. CA 认证 中 心 不 用 保持 中 立 ， 可 以 随便 找 一 个 用 户 来 作为 CA 认证 中 心 


~ 


D 


4. Kerberos 的 设计 目标 不 包括 。 
A. 认证 B. 授权 C. 记 账 D. 审计 
5. 访问 控制 是 指 确定 以 及 实施 访问 权限 的 过 程 。 
A. 用 户 权 限 B. 可 赋予 哪些 主体 访问 权利 
C. 可 被 用 户 访问 的 资源 D. 系统 是 否 遭 受 入 侵 
6. 以 下 各 项 中 对 访问 控制 影响 不 大 的 是 
A. 主体 身份 B. 客体 身份 C. 访问 类 型 D. 主体 与 客体 的 类 型 
7. 为 了 简化 管理 ， 通 常 对 访问 者 ， 以 避免 访问 控制 表 过 于 庞大 。 
A. 分 类 组 织 成 组 
B. 严格 限制 数量 


C. 按 访问 时 间 排序 ， 删 除 长 期 没有 访问 的 用 户 
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D. 不 作 任 何 限制 
8. PKI 支 持 的 服务 不 包括 和 


A. 非 对 称 密 钥 技术 及 证 书 管理 B. 目录 服务 
C. 对 称 密 钥 的 产生 和 分 发 D. 访问 控制 服务 
9. PKI 的 主要 组 成 不 包括 
A. 证 书 授权 CA B. SSL C. 注册 授权 RA D. 证 书 存储 库 CR 
10. PKI 管 理 对 象 不 包括 可 
A. ID 和 口令 B. 证 书 C. 密 钥 D. 证 书 撤销 
11. 下 面 不 属于 PKI 组 成 部 分 的 是 
A. 证 书 主体 B. 使 用 证 书 的 应 用 和 系统 
C. 证 书 权威 机 构 D. AS 
12. PKI 能 够 执行 的 功能 是 和 。 
A. 鉴别 计算 机 消息 的 始 发 者 B. 确认 计算 机 的 物理 位 置 
C. 保守 消息 的 机 密 D. 确认 用 户 具有 的 安全 性 特权 
13. PKI 的 主要 理论 基础 是 
A. 对 称 密码 算法 B. 公 钥 密码 算法 。 C. 量子 密码 D. 摘要 算法 
二 、 填 空 题 
Ek 是 验证 信息 发 送 者 是 真 的 ， 而 不 是 冒充 的 ， 包 括 等 的 认证 和 识别 。 
pp 的 目的 是 为 了 限制 访问 主体 对 访问 客体 的 5 
3 是 PKI 的 核心 元 素 ， 是 PKI 的 核心 执行 者 。 
三 、 问 答题 
1. 简 述 生物 特征 身份 认证 的 发 展 趋势 。 


2. 简 述 口令 可 能 会 遭受 哪些 攻击 。 

3. 假定 只 允许 使 用 26 个 字母 构造 口令 ， 在 下 列 情况 下 各 可 以 构造 出 多 少 条 口令 ? 

(1) 口令 最 多 可 以 使 用 n 个 字符 ,n=4，6，8， 不 区 分 大 小 写 。 

(2) 口令 最 多 可 以 使 用 n 个 字符 ,n=4，6，8， 区 分 大 小 写 。 

4. 编写 一 个 口令 生成 程序 。 程 序 以 长 度 s (可 以 取 s=8，16，32，64) 的 随机 二 进 制 种 子 作为 输入 。 

(1) 让 多 名 用 户 使 用 该 程序 生成 口令 ， 记 录 有 多 少 人 选择 了 相同 的 事件 。 

(2) 生成 一 个 口令 并 加 密 。 然后 让 人 通过 尝试 随机 数 种 子 的 所 有 值 进行 口令 攻击 。 事先 要 给 定 一 个 猜 
测 次 数 的 期 望 值 。 

5. 简 述 口令 可 能 会 遭受 哪些 攻击 。 

6. 比较 动态 口令 的 3 种 实现 方式 。 

7. 比较 静态 口令 与 动态 口令 。 

8. 常用 动态 令 牌 有 哪 几 种 ? 

(1) 短信 密码 。 

(2) 手机 令 牌 。 
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(3) 硬件 令 牌 。 

(4) 软件 令 牌 。 

9. 在 身份 验证 中 ， 可 能 会 遇 到 重 放 攻击 。 重 放 具 有 如 下 几 种 形式 。 

(1) 简单 的 重 放 。 攻 击 者 简单 地 复制 信息 ， 经 过 一 段 时 间 后 ， 再 重 放 原 来 的 信息 。 


《2》 


重 放 不 能 被 检测 到 。 这 时 ， 原 始 的 信息 不 能 到 达 ， 只 有 重 放 信息 到 达 目 的 地 。 





(3) 没有 定义 的 重 放 返回 。 发 送 者 这 时 很 难 确 定 是 发 送信 息 还 是 接收 信息 。 
请 考虑 如 何 能 确定 信息 是 不 是 重 放 的 信息 。 


10. 
Li 
. 简 述 认证 机 构 的 严格 层次 结构 模型 的 性 质 。 

. 证 书 管理 由 哪 3 个 阶段 组 成 ? 每 个 阶段 包括 哪些 具体 内 容 ? 

. 简 述 使 用 密 钥 的 身份 认证 的 分 类 方法 。 

. 简 述 Kerberos 身 份 认证 的 异域 认证 过 程 。 

. 简 述 X.509 证 书包 含 的 内 容 。 

. 简 述 X.509 的 双向 认证 过 程 。 

. 试 述 数字 证 书 的 原理 。 

. 查阅 资料 ， 简 述 有 关 PKI 的 标准 及 其 相关 产品 。 

. PKI 可 以 提供 哪些 安全 服务 ? PKI 体 系 中 包含 了 哪些 与 信任 有 关 的 概念 ? 
. 叙述 基于 X.509 的 数字 证 书 在 PKI 中 的 作用 。 

. 查 
. PKI 可 以 提供 哪些 安全 服务 ? PKI 体 系 中 包含 了 哪些 与 信任 有 关 的 概念 ? 

. 在 信息 系统 内 主体 通常 指 什么 ? 客体 通常 指 什么 ? 

. 查找 资料 ， 分 别 给 出 儿 个 自主 访问 控制 、 强 制 访问 控制 和 基于 角色 的 访问 控制 的 实例 。 
.比较 自主 访问 控制 、 强 制 访问 控制 和 基于 角色 的 访问 控制 。 

. 查找 资料 ， 说 明 还 有 哪些 新 的 访问 控制 策略 。 


如 何 保护 IC 卡 的 安全 ? 
请 画 出 带 有 时 间 戳 的 基于 秘密 密 钥 的 身份 验证 过 程 。 


阅 资料 ， 简 述 有 关 PKI 的 标准 及 其 相关 产品 。 
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第 4 章 网络 安全 防护 


现代 信息 系统 都 是 在 网 络 环境 下 运行 的 。 本 章 主 要 介绍 有 关 网 络 环境 的 安全 技术 。 
4.1 网 络 防火 墙 


在 建筑 群 中 ， 防 火 墙 (firewall， 见 图 4.1) 用 来 防止 火灾 蔓延 。 在 计算 机 网 络 中 ， 防 火 
墙 是 设置 在 可 信任 的 内 部 网 络 和 不 可 信任 的 外 界 之 间 的 
一 道 屏 障 ， 阻 滞 不 希望 或 者 未 授权 的 通信 进出 内 部 网 络 ， 
通过 强化 边界 控制 来 保障 内 部 的 安全 ， 同 时 不 妨碍 内 部 对 
外 部 的 访问 ， 是 目前 实现 网 络 安全 的 最 有 效 的 措施 之 一 。 


4.1.1 网 络 防火 墙 概述 
1. 防火 墙 的 作用 图 4.1 有 防火 墙 的 民居 








1) 强化 网 络 安全 策略 

防火 墙 是 位 于 所 保护 网 络 边界 上 的 关口 ， 可 以 过 滤 数 据 包 ， 可 以 选择 符合 规则 的 服务 
对 于 来 往 的 访问 进行 双向 检查 ; 能 将 可 疑 访问 拒 之 门 外 ， 也 能 防止 未 经 允许 的 访问 到 外 间 
网 络 。 当 然 ， 这 就 要 求 无 论 是 从 内 部 到 外 部 的 、 还 是 从 外 部 到 内 部 的 访问 ， 都 必须 经 过 防 
火 墙 ， 并 且 只 有 被 授权 的 通信 才能 通过 防火 墙 ， 也 可 以 防止 内 部 信息 外 泄 。 

2) 防止 故障 蔓延 

由 于 防火 墙 具 有 双向 检查 功能 ， 也 能 够 将 网 络 中 一 个 网 块 〈 也 称 为 网 段 ) 与 另 一 个 网 
块 隔 开 ， 从 而 限制 了 局 部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 ， 防 止 攻击 性 故 
障 蔓延 。 

3) 对 网 络 访问 进行 监控 审计 和 报警 

防火 墙 位 于 网 络 的 边界 上 ， 能 有 效 地 监控 内 部 网 和 外 部 网 之 间 的 一 切 活动 。 当 所 有 的 
访问 都 经 过 防火 墙 ， 防 火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 。 根 据 这 些 记 录 ， 管 理 人 员 就 
可 以 知晓 网 络 的 运行 状况 ， 知 道 网 络 是 否 受到 了 攻击 ， 是 什么 样 的 攻击 。 当 发 生 可 疑 动作 
时 ， 防 火 墙 能 进行 适当 的 报警 ， 并 提供 网 络 是 否 受到 监测 和 攻击 的 详细 信息 。 

防火 墙 还 可 以 具有 分 析 功 能 ， 通 过 对 有 关 记录 的 统计 分 析 ， 知 道 网 络 有 哪些 威胁 ， 有 
哪些 安全 需求 ， 也 能 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 且 清 楚 防 火 墙 的 控 
制 是 否 充足 。 

4) 提供 流量 控制 (带宽 管理 ) 和 计 费 

流量 统计 建立 在 流量 控制 基础 之 上 。 通 过 对 基于 全、 服务 、 时 间 、 协 议 等 的 流量 进行 
“De 














统计 ， 可 以 实现 与 管理 界面 挂 接 ， 并 便于 流量 计 费 。 

流量 控制 分 为 基于 IP 地 址 的 控制 和 基于 用 户 的 控制 。 基于 IP 地 址 的 控制 是 对 通过 防火 
墙 各 个 网 络 接口 的 流量 进行 控制 ; 基于 用 户 的 控制 是 通过 用 户 登录 来 控制 每 个 用 户 的 流量 ， 
防止 某 些 应 用 或 用 户 占 用 过 多 的 资源 ， 保 证 重要 用 户 和 重要 接口 的 连接 。 

5) 实现 MAC 与 IP 地址 的 绑 定 

MAC 与 IP 地 址 绑 定 起 来 ， 主 要 用 于 防止 受 控 〈 不 允许 访问 外 网 ) 的 内 部 用 户 通过 更 
换 IP 地 址 访问 外 网 。 这 其 实 是 一 个 可 有 可 无 的 功能 。 不 过 因为 它 实现 起 来 太 简单 了 ， 内 部 
只 需要 两 个 命令 就 可 以 实现 ， 所 以 绝 大 多 数 防火 墙 都 提供 了 该 功能 。 

2. 网 络 防火 墙 的 局 限 

1) 防火 墙 有 可 能 是 可 以 绕 过 的 

防火 墙 可 以 确定 哪些 内 部 服务 允许 外 部 访问 ， 哪 些 外 部 用 户 可 以 访问 所 允许 的 内 部 服 
务 ， 哪 些 外 部 服务 可 以 由 内 部 用 户 访问 。 为 了 发 挥 防火 墙 的 作用 ， 出 入 的 信息 必须 经 过 防 
火 墙 ， 被 授权 的 信息 才能 通过 。 因 而 ， 防 火 墙 应 当 是 不 可 渗透 或 绕 过 的 ， 但 若 防 火 墙 一 旦 
被 攻击 者 击 穿 或 绕 过 ， 防 火 墙 将 失去 作用 。 

实际 上 ， 系 统 往往 会 有 缺陷 ， 也 往往 会 由 于 后 门 攻击 而 留 下 一 些 漏洞 。 如 图 4.2 所 示 ， 
如 果 内 部 网 络 中 有 一 个 未 加 限制 的 拨 出 ， 内 部 网 络 用 户 就 可 以 (用 向 ISP 购买 等 方式 ) 通 
过 串 行 链 路 网 际 协议 〈Serial Line Internet Protocol，SLIP) 或 点 到 点 协议 (Pointer-to-Pointer 
Protocol，PPP) 与 ISP 直接 连接 ， 从 而 绕 过 防火 墙 。 
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图 4.2 防火墙 的 漏洞 


由 于 防火 墙 依赖 于 口令 ， 所 以 防火 墙 不 能 防范 黑客 对 口令 的 攻击 。 几 年 前 ， 两 个 在 校 
学 生 编 了 一 个 简单 的 程序 ， 通 过 对 波音 公司 的 口令 字 的 排列 组 合 试 出 了 开启 内 部 网 的 钥匙， 
从 网 中 搞 到 了 一 张 授权 的 波音 公司 的 口令 表 ， 将 口令 一 一 出 卖 。 所 以 美国 马里 兰州 的 一 家 
计算 机 安全 咨询 机 构 负 责 人 诺尔 。 马 切 特 说 :“ 防 火 墙 不 过 是 一 道 较 矮 的 篇 多 增 ,” 黑 客 像 
耗子 一 样 ， 能 从 这 道 篇 钨 墙 上 的 窟 窄 中 出 入 。 这 些 帘 窗 常常 是 人 们 无 意 中 留 下 来 的 ， 甚 至 
包括 一 些 对 安全 性 有 清醒 认识 的 公司 。 例 如 ， 由 于 Web 服务 器 通常 处 于 防火 墙 体系 之 外 ， 
而 有 些 公司 随意 扩展 浏览 器 的 功能 ， 使 之 含有 Applet 编写 工具 。 黑 客 们 便 可 以 利用 这 些 工 
具 钻 空子 ， 接 管 Web 服务 器 ， 接 着 便 可 以 从 Web 服务 器 出 发 溜 过 防火 墙 ， 大摇大摆 地 “ 回 
到 ”内 部 网 中 ， 好 像 他 们 是 内 部 用 户 ， 刚 刚 出 来 办 完事 又 返回 去 一 样 。 
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2) 防火 墙 不 能 防止 内 部 出 卖 性 攻击 或 内 部 误 操作 

显然 ， 当 内 部 人 员 将 敏感 数据 或 文件 复制 到 U 盘 等 移动 存储 设备 上 提供 给 外 部 攻击 者 
时 ,防火墙 是 无 能 为 力 的 。 此 外 ， 防 火 墙 也 不 能 防范 黑客 ,黑客 有 可 能 伪装 成 管理 人 员 或 
新 职工 ， 以 骗取 没有 防范 心理 的 用 户 的 口令 ， 或 借用 他 们 的 临时 访问 权限 实施 攻击 。 

3) 防火 墙 不 能 防止 对 开放 端口 服务》 的 攻击 

防火 墙 要 保证 服务 ， 必 须 开 放 相 应 的 端口 。 防 火 墙 要 准许 HTTP 服务 ， 就 必须 开放 80 
端口 ; 要 提供 MAIL 服务 , 就 必须 开放 25 端口 等 。 防火 墙 不 能 防止 对 开放 的 端口 进行 攻击 ， 
即 不 能 防止 利用 开放 服务 流入 的 数据 攻击 、 利 用 开放 服务 的 数据 隐蔽 隧道 的 攻击 和 对 于 开 
放 服务 软件 缺陷 的 攻击 。 

4) 防火 墙 不 能 防止 数据 驱动 式 的 攻击 

有 些 数据 表面 上 看 起 来 无 害 ， 可 是 当 它们 被 邮寄 或 复制 到 内 部 网 的 主机 中 后 ， 就 可 能 
会 发 起 攻击 ， 或 为 其 他 入 侵 准 备 好 条 件 。 这 种 攻击 就 称 为 数据 驱动 式 攻击 。 防 火 墙 无 法 防 
御 这 类 攻击 。 

5) 防火 墙 可 以 阻 断 攻击 ， 但 不 能 消灭 攻击 源 

防火 墙 是 一 种 被 动 防卫 机 制 ， 不 是 主动 安全 机 制 。Intemet 上 的 各 种 攻击 源源 不 断 。 设 
置 得 当 的 防火 墙 可 以 阻挡 它们 ， 但 是 无 法 清除 这 些 攻击 源 。 

6) 防火 墙 有 可 能 自身 遭 到 攻击 

防火 墙 不 能 干涉 还 没有 到 达 防 火 墙 的 包 ， 如 果 这 个 包 是 攻击 防火 墙 的 ， 只 有 已 经 发 生 
了 攻击 ， 防 火 墙 才 可 以 对 抗 。 并 且 防 火 墙 也 是 一 个 系统 ， 也 有 自己 的 缺陷 ， 也 会 受到 攻击 。 
这 时 许多 防御 措施 就 会 失灵 。 

3. 防火 墙 的 种 类 

从 不 同 的 角度 ， 可 以 对 防火 墙 进行 不 同 的 分 类 。 下 面 介绍 几 种 重要 的 防火 墙 分 类 。 

1) 按照 采用 的 技术 分 类 

按照 采用 的 技术 可 将 防火 墙 分 为 以 下 4 类 。 

(1) 地 址 转换 防火 墙 。 内 部 地 址 与 外 部 地 址 不 一 致 ， 可 以 防止 外 部 直接 根据 地 址 进行 
攻击 。 

(2) 数据 包 过 滤 防 火 墙 。 这 种 防火 墙 主要 工作 在 人 P 层 和 TCP 层 ， 按 照 数据 包 的 内 容 进 
行 检查 ， 按 照 默认 允许 或 默认 禁止 两 种 原则 进行 过 滤 。 

(3) 代理 防火 墙 。 这 种 防火 墙 能 够 将 所 有 跨越 防火 墙 的 网 络 通信 链 路 分 为 两 段 ， 使 得 
网 络 内 部 的 用 户 不 直接 与 外 部 的 服务 器 通信 ， 可 以 避免 数据 驱动 式 攻击 。 

(4) 状态 检测 防火 墙 。 是 第 三 代 防 火 墙 技术 ， 能 对 网 络 通信 的 各 层 实行 检测 。 

2) 按照 实现 形态 分 类 

按照 实现 形态 可 将 防火 墙 分 为 以 下 3 类 。 
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(1) 软件 防火 墙 。 软 件 防 火 墙 单独 使 用 软件 系统 来 完成 防火 墙 功 能 ， 将 软件 部 署 在 系 
统 主机 中 的 公共 操作 系统 上 。 它 要 占用 系统 资源 ， 在 一 定 程度 上 影响 系统 性 能 。 其 一 般 用 
于 单机 系统 或 是 极 少数 的 个 人 计算 机 ， 很 少 用 于 计算 机 网 络 中 ， 所 以 也 称 为 个 人 防火 墙 。 

(2) 硬件 防火 墙 。 通 常 称 为 网 络 防火 墙 ， 其 基本 原理 是 把 软件 防火 墙 能 入 在 硬件 中 ， 
或 者 说 是 在 一 台 服 务 器 上 装 了 软件 防火 墙 。 高 端的 硬件 防火 墙 不 是 将 防火 墙 软 件 装 在 硬盘 
中 ， 而 是 固化 在 BIOS 中 ， 这 样 提高 发 包 效 率 ， 并 且 很 难 被 破坏 〈 因 为 BIOS 是 ROM 存储 
器 ， 是 只 读 型 的 )。 

(3) 芯片 级 防火 墙 。 基 于 专门 的 硬件 平台 ， 没 有 操作 系统 。 专 有 的 ASIC 芯片 促使 它们 
比 其 他 种 类 的 防火 墙 速度 更 快 ， 处 理 能 力 更 强 ， 性 能 更 高 。 做 这 类 防火 墙 最 出 名 的 厂商 有 
NetScreen、FortiNet、Cisco 等 。 这 类 防火 墙 由 于 使 用 专用 OS 操作 系统 )， 因 此 防火 墙 本 
身 的 漏洞 比较 少 ， 不 过 价格 比较 高 昂 。 

3) 从 防火 墙 结构 上 分 类 

从 结构 上 可 将 防火 墙 分 为 以 下 3 类 。 

(1) 单一 主机 防火 墙 。 

(2) 路 由 器 集成 式 防火 墙 。 

(3) 分 布 式 防火 墙 。 

4) 按 防 火 墙 的 应 用 部 署 位 置 分 类 

按 应 用 部 署 位 置 可 将 防火 墙 分 为 以 下 3 类 。 

(1) 边界 防火 墙 。 

(2) 个 人 防火 墙 。 

(3) 混合 防火 墙 。 

5) 按 防 火 墙 性 能 分 类 

按照 性 能 可 将 防火 墙 分 为 以 下 两 类 。 

(1) 百 兆 级 防火 墙 。 

(2) 千 兆 级 防火 墙 。 


4.12 防火墙 技 术 之 一 一 一 网 络 地 址 转换 


网 络 地 址 转换 (Network Address Translation，NAT) 就 是 使 用 两 套 IP 地 址 一 一 内 部 IP 
地 址 (也 称 为 私有 IP 地 址 ) 和 外 部 IP 地 址 〈 也 称 为 公共 卫 地 址 )。 私 有 卫 地 址 是 指 内 部 
网 络 或 主机 的 人 P 地 址 ， 公 有 卫 地 址 是 指 在 Internet 上 全 球 唯 一 的 IP 地 址 。 当 受 保护 的 内 
部 网 连接 到 Internet 并 且 有 用 户 要 访问 Internet 时 ， 它 首先 使 用 自己 网 络 的 内 部 IP 地 址 ， 
到 了 NAT 后 , NAT 就 会 从 公共 IP 地 址 集中 选 一 个 未 分 配 的 地 址 分 配给 该 用 户 ， 该 用 户 即 
可 使 用 这 个 合法 的 IP 地 址 进行 通信 。 同 时 ， 对 于 内 部 的 某 些 服务 器 ， 如 Web 服务 器 ， 网 
络 地 址 转换 器 允许 为 其 分 配 一 个 固定 的 合法 地 址 。 外 部 网 络 的 用 户 就 可 通过 NAT 来 访问 
内 部 的 服务 器 。 

NAT 可 以 缓解 PP 地 址 较 少 与 主机 数量 过 多 之 间 的 矛盾 ， 可 以 用 少量 的 与 数目 较 多 的 
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内 部 主机 之 间 相 互 映射 。 由 于 它 对 外 隐藏 内 部 主机 的 私有 IP 地 址 ， 也 提高 了 内 部 网 络 的 
安全 性 。 

虽然 NAT 可 以 借助 于 某 些 代理 服务 器 来 实现 ， 但 考虑 到 运算 成 本 和 网 络 性 能 ， 很 多 时 
候 都 是 在 路 由 器 或 防火 墙 上 实现 的 。 


1. 私有 IP 地 址 空间 


RFC 1918 为 私有 网 络 预 留 了 3 个 IP 地址 块 ， 如 下 。 

A 类 : 10.0.0.0~10.255.255.255。 

B 类 : 172.16.0.0~172.31.255.255。 

C 类 : 192.168.0.0 一 192.168.255.255。 

上 述 3 个 范围 内 的 地 址 不 会 在 Internet 上 被 分 配 , 可 以 不 必 向 因特网 服务 提供 商 (Internet 
Service Provider，ISP) 或 注册 中 心 申请 即 可 在 公司 或 企业 内 部 自由 使 用 。 


2. 基本 NAT 与 NAPT 


NAT 技术 于 20 世纪 90 年 代 提 出 。 原 来 仅仅 进行 IP 地 址 映射 ， 后 来 把 映射 范围 扩大 到 
了 端口 ， 于 是 形成 两 种 NAT: 基本 NAT 和 NAPT。 

1) 基本 NAT 

基本 NAT 常 被 简称 为 NAT， 其 特点 是 仅仅 进行 内 部 卫 与 公共 卫 之 间 的 映射 ， 不 进行 
端口 的 映射 。 其 特点 是 内 部 卫 与 公共 IP 具有 一 对 一 的 映射 关系 。 

基本 NAT 的 实现 有 两 种 方法 : 静态 NAT (static NAT) 和 动态 NAT (dynamic NAT )。 

静态 NAT 指 私 有 IP 地 址 与 公共 卫 地 址 具有 固定 的 一 对 一 的 映射 关系 。 

例 4.1 假设 内 部 局 域 网 使 用 的 IP 地 址 段 为 192.168.0.1 一 192.168.0.254, 路 由 器 局 域 网 
端 ( 即 默认 网 关 ) 的 IP 地 址 为 192.168.0.1， 子 网 掩 码 为 255.255.255.0。 网 络 分 配 的 公共 IP 
地 址 范围 为 61.159.62.128 一 61.1$9.62.135， 路 由 器 在 广域网 中 的 IP 地 址 为 61.159.62.129， 
子 网 抢 码 为 255.255.255.248， 可 用 于 转换 的 IP 地 址 范围 为 61.159.62.130 一 61.159.62.134。 
于 是 可 以 得 到 表 4.1 所 示 的 静态 NAT 表 。 


表 4.1 例 4.1 的 NAT 表 


内 部 本 地 IP 内 部 全 局 P 外 部 IP 
192.168.0.2 200.168.12.9 61.159.62.130 











192.168.0.3 200.168.12.3 61.159.62.131 





192.168.0.4 200.168.12.5 61.159.62.132 





192.168.0.5 200.168.12.1 61.159.62.133 





192.168.0.6 200.168.12.6 61.159.62.134 





实际 上 ，NAT 就 是 内 部 本 地 地 址 与 内 部 全 局 地 址 之 间 的 转换 。 那 么 ， 只 有 内 部 本 地 IP 
地 址 , 没有 内 部 全 局 IP 地 址 是 否 可 以 呢 ? 如 果 这 样 , 所 提供 的 NAT 表 只 能 用 于 内 部 主机 对 
于 外 部 的 访问 ， 外 部 主机 无 法 访问 内 部 主机 。 为 了 能 让 外 部 主机 访问 内 部 主机 ， 就 要 向 外 
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公布 内 部 主机 的 卫 地 址 。 但 这 样 就 失去 设置 内 部 IP 地 址 的 意义 了 。 为 每 一 台 内 部 主机 增加 
一 个 全 局 IP 地 址 的 目的 是 让 外 部 主机 只 能 知道 这 个 外 部 地 址 ， 无 法 知道 真实 的 内 部 地 址 。 
要 访问 内 部 主机 必须 经 过 防火 墙 检查 ， 从 而 为 内 部 主机 提供 了 一 层 保护 。 当 然 ， 这 时 ， 必 
须 申请 与 主机 数 同样 多 的 内 部 全 局 IP 地 址 。 

动态 NAT 指 私有 IP 地 址 与 公共 IP 地址 具有 动态 临时) 的 一 对 一 映射 关系 。 基 本 方 
法 是 将 可 用 的 全 局 地 址 集 定义 成 NAT 池 (NAT pool)。 对 于 要 与 外 界 进行 通信 的 内 部 节点 ， 
如 果 还 没有 建立 转换 映射 ， 边 缘 路 由 器 或 者 防火 墙 将 会 动态 地 从 NAT 池 中 选择 全 局 地 址 对 
内 部 地 址 进行 转换 。 每 个 转换 条 目 在 连接 建立 时 动态 建立 ， 而 在 连接 终止 时 会 被 回收 。 这 
样 ， 网 络 的 灵活 性 大 大 增强 了 ， 所 需要 的 全 局 地 址 进一步 减少 ， 所 以 动态 NAT 适合 于 内 部 
主机 数 大 于 全 局 IP 地 址 数 的 情形 。 

动态 转换 提供 了 很 大 的 灵活 性 ， 但 增加 了 网 络 管理 的 复杂 性 。 特 别 是 当 NAT 池 中 的 
全 局 地 址 被 全 部 占用 以 后 ， 以 后 的 地 址 转换 的 申请 会 被 拒绝 ， 所 以 内 部 主机 同时 访问 外 章 
主机 的 数目 取决 于 申请 到 的 内 部 全 局 IP 地 址 的 数目 。 这 样 会 造成 网 络 连通 性 的 问题 ， 一 般 
只 用 于 拨号 连接 或 频繁 的 远程 连接 中 。 

2) NAPT 


网 络 地 址 端口 转换 (Network Address Port Translation，NAPT) 不 仅 进 行 卫 地 址 映射 ， 
还 进行 TCP 或 UDP 端口 映射 ， 即 进行 的 是 < 内 部 地 址 + 内 部 端口 > 与 < 外 部 地 址 + 外 部 端口 > 
之 间 的 映射 。 NAPT 主要 采用 地 址 端口 转换 的 方法 进行 转换 , 即将 内 部 地 址 映射 到 外 部 网 络 
的 IP 地 址 的 不 同 端口 上 ， 从 而 可 以 实现 多 对 一 的 映射 。 表 4.2 为 一 个 NAPT 表 的 示例 ,其 
3 台 内 部 主机 共用 了 一 个 全 局 卫 地 址 。 
表 4.2 NAPT 表 的 示例 
协议 外 部 全 局 地 址 端口 

cP 2122173: 23 

cP 2122173: 2 

TCP 2122173: 23 


3. NAT 的 优 缺 点 


NAT 使 内 部 网 络 的 计算 机 不 可 能 直接 访问 外 部 网 络 : 通过 包 过 滤 分 析 ， 若 传 入 的 包 没 
有 专门 指定 配置 到 NAT， 就 将 之 丢弃 。 同 时 使 所 有 内 部 的 耳 地 址 对 外 部 是 隐蔽 的 。 因此， 
网 络 之 外 没有 谁 可 以 通过 指定 IP 地 址 的 方式 直接 对 网 络 内 的 任何 一 台 特 定 的 计算 机 发 起 
攻击 。NAT 还 可 以 使 多 个 内 部 主机 共享 数量 有 限 的 IP 地 址 。 还 可 以 启用 基本 的 包 过 滤 安 
全 机 制 ，NAT 虽然 可 以 保障 内 部 网 络 的 安全 ， 但 也 有 一 些 局 限 。 例 如 ， 内 部 用 户 可 以 利用 
某 些 木马 程序 通过 NAT 做 外 部 连接 。 
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4.1.3 ”防火 墙 技术 之 二 一 一 代理 服务 
1. 代理 服务 器 


代理 服务 器 (proxy server) 是 用 户 计 算 机 与 Internet 之 间 的 中 间 代 理 机 制 ， 它 采用 
客户 /服务 器 工作 模式 。 代 理 服务 器 位 于 客户 与 Internet 上 的 服务 器 之 间 。 请 求 由 客户 端 向 
服务 器 发 起 ， 但 是 这 个 请 求 要 首先 被 送 到 代理 服务 器 ;代理 服务 器 分 析 请 求 ， 确 定 其 是 合 
法 的 以 后 ， 首 先 查 看 自己 的 缓存 中 有 无 要 请 求 的 数据 ， 有 就 直接 传送 给 客户 端 ， 否 则 再 以 
代理 服务 器 作为 客户 端 向 远程 的 服务 器 发 出 请 求 ， 远 程 服务 器 的 响应 也 要 由 代理 服务 器 转 
交 给 客户 端 ， 同 时 代理 服务 器 还 将 响应 数据 在 自己 的 缓存 中 保留 一 份 副本 ， 以 备 客户 端 下 
次 请 求 时 使 用 。 图 4.3 为 代理 服务 的 结构 及 其 数据 控制 和 传输 过 程 示意 图 。 








请 来、 
~ 转发 
应 答 





图 4.3 代理 服务 的 结构 及 其 数据 控制 和 传输 过 程 


应 用 于 网 络 安全 的 代理 技术 ， 也 是 要 建立 一 个 数据 包 的 中 转机 制 ， 并 在 数据 的 中 转 过 
程 中 加 入 一 些 安全 机 制 。 

代理 技术 可 以 在 不 同 的 网 络 层次 上 进行 。 主 要 的 实现 层次 在 应 用 层 和 传输 层 ， 分 别称 
为 应 用 级 代理 和 电路 级 代理 。 它 们 的 工作 原理 有 所 不 同 。 


2. 应 用 级 代理 


应 用 级 代理 像 横 在 客户 与 服务 器 连通 路 径 上 的 一 个 关口 ， 所 以 也 被 称 为 应 用 层 网 关 
(application level gateway)。 由 于 应 用 级 代理 还 像 横 在 客户 与 服务 器 连通 路 径 上 的 一 堵 墙 ， 
所 以 也 被 称 为 应 用 级 防火 墙 。 如 图 4.4 所 示 , 应 用 级 代理 只 有 为 特定 的 应 用 程序 安装 了 代理 
程序 代码 ， 该 服务 才 会 被 支持 ， 并 建立 相应 的 连接 。 显 然 ， 这 种 方式 可 以 拒绝 任何 没有 明 
确 配置 的 连接 ， 从 而 提供 了 额外 的 安全 性 和 控制 性 。 但 是 ， 应 用 级 代理 没有 通用 的 安全 机 
制 和 安全 规则 描述 ， 它 们 通用 性 差 ， 对 不 同 的 应 用 具有 很 强 的 针对 性 和 专用 性 。 

图 4.5 为 应 用 级 代理 的 基本 工作 过 程 。 

应 用 级 代理 具体 提供 如 下 一 些 功 能 。 

1) 阻 断路 由 与 URL 


代理 服务 是 一 种 服务 程序 ， 它 位 于 客户 机 与 服务 器 之 间 ， 完 全 阻挡 了 两 者 间 的 数据 交 
流 。 从 客户 机 来 看 ， 代 理 服 务 器 相当 于 一 台 真 正 的 服务 器 ; 而 从 服务 器 来 看 ， 代 理 服务 器 
又 是 一 台 真 正 的 客户 机 。 当 客户 机 需要 使 用 服务 器 上 的 数据 时 ， 首 先 将 数据 请 求 发 给 代理 
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图 4.4 应 用 级 代理 工作 原理 
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图 4.5 应 用 级 代理 的 基本 工作 过 程 


服务 器 ， 代 理 服务 器 再 根据 这 一 请 求 向 服务 器 索取 数据 ， 然 后 再 由 代理 服务 器 将 数据 传输 
给 客户 机 。 由 于 外 部 系统 与 内 部 服务 器 之 间 没 有 直接 的 数据 通道 ， 外 部 的 恶意 侵害 也 就 很 
难 伤害 到 企业 内 部 网 络 系统 。 

代理 通过 侦 听 网 络 内 部 客户 的 服务 请 求 ， 然 后 把 这 些 请 求 发 向 外 部 网 络 。 在 这 一 过 程 
中 ， 代 理 要 重新 产生 服务 级 请 求 。 例 如 ， 一 个 Web 客户 向 外 部 发 出 一 个 请 求 时 ， 这 个 请 求 
会 被 代理 服务 器 “拦截 ”， 再 由 代理 服务 器 向 目标 服务 器 发 出 一 个 请 求 。 因 此 外 部 主机 与 内 
部 主机 之 间 并 不 存在 直接 连接 ， 从 而 可 以 防止 传输 层 因 源 路 由 、 分 段 和 不 同 的 服务 拒绝 造 
成 的 攻击 ， 确 保 没有 建立 代理 服务 的 协议 不 会 被 发 送 到 外 部 网 络 。 

2) 隐藏 用 户 

应 用 级 代理 既 可 以 隐藏 内 部 IP 地 址 ， 也 可 以 给 单个 用 户 授权 ， 即 使 攻击 者 盗用 了 一 个 
合法 的 IP 地 址 ， 也 通 不 过 严格 的 身份 认证 。 因 此 应 用 级 代理 比 数据 包 过 滤 具 有 更 高 的 安全 
性 。 但 是 这 种 认证 使 得 应 用 网 关 不 透明 ， 用 户 每 次 连接 都 要 受到 认证 ， 这 给 用 户 带 来 许多 
不 便 。 这 种 代理 技术 需要 为 每 个 应 用 写 专门 的 程序 。 

代理 保证 所 有 内 容 都 经 过 单一 的 一 个 点 ， 该 点 成 为 网 络 数据 的 一 个 检查 点 。 在 应 用 级 
代理 提供 授权 检查 及 代理 服务 。 大 多 数 代 理 软件 可 以 具有 对 过 往 的 数据 包 进 行 分 析 监 控 、 
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注册 登记 、 过 滤 、 记 录 和 报告 等 功能 ， 当 外 部 某 台 主 机 试图 访问 受 保护 网 络 时 ， 必 须 先 在 
代理 上 经 过 身份 认证 。 通 过 身份 认证 后 ， 再 运行 一 个 专门 为 该 网 络 设计 的 程序 ， 把 外 部 主 
机 与 内 部 主机 连接 。 在 这 个 过 程 中 ， 可 以 限制 用 户 访问 的 主机 、 访 问 时 间 及 访问 的 方式 进 
行 记录 、 监 控 。 同 样 ， 受 保护 网 络 内 部 用 户 访问 外 部 网 时 也 需要 先 登 录 到 代理 上 ， 通 过 验 
证 后 ， 才 可 访问 。 当 发 现 被 攻击 迹象 时 会 向 网 络 管理 员 发 出 警报 ， 并 能 保留 攻击 痕迹 。 代 
理 服 务 器 的 缺点 是 必须 针对 客户 机 可 能 产生 的 所 有 应 用 类 型 逐一 进行 设置 ， 大 大 增加 了 系 
统管 理 的 复杂 性 。 此 外 ， 假 如 由 于 黑客 攻击 等 原因 使 代理 不 工作 时 ， 对 应 的 服务 请 求 也 就 
被 切断 了 。 这 也 是 单 点 访问 的 不 足 之 处 。 

3) 提高 用 户 访问 效率 

代理 服务 器 起 内 容 中 转 的 作用 ， 能 把 服务 器 向 用 户 提供 的 内 容 先 保存 起 来 ， 再 提供 给 
用 户 ， 下 次 用 户 有 同样 请 求 时 ， 就 会 只 从 服务 器 传输 改变 的 部 分 ， 从 而 提高 了 用 户 访问 
效率 。 


3. 电路 级 代理 


电路 级 代理 也 称 为 电路 层 网 关 (circuit level gateway)。 如 图 4.6 所 示 ， 在 OSI 模型 中 电 
路 层 网 关 工作 在 会 话 层 ， 它 维护 一 张 合法 的 会 话 连接 表 ， 进 行 会 话 层 的 过 滤 。 在 TCP/IP 协 
议 栈 中 , 电路 层 网 关 在 TCP 三 次 握手 过 程 中 检查 双方 的 SYN、ASK 和 序列 号 是 否 合乎 逻辑 ， 
依 此 判断 请 求 的 会 话 是 否 合法 。 一 旦 认为 会 话 合法 ， 就 为 双方 建立 连接 。 之 后 就 只 作为 数 
据 包 的 中 转 站 ， 进 行 简单 的 字 节 复制 式 的 数据 包 转 接 ， 不 再 进行 任何 审查 、 过 滤 和 管理 。 
因此 ， 受 保护 网 与 外 部 网 的 信息 交换 是 透明 的 。 


本 | TCP 端 口 TCP 端 口 me 
LE 和 | 
传输 层 
网 络 层 
数据 链 路 层 /物理 层 


图 4.6 电路 层 网 关 工 作 原理 


处 于 安全 网 络 内 的 客户 端 可 以 事先 通知 电路 层 网 关 有 哪些 包 要 到 来 ， 这 也 就 形成 了 一 
个 隐患 ， 即 内 部 用 户 为 外 部 主机 设置 了 一 条 特殊 通道 。 为 此 ， 电 路 层 网 关 要 与 过 滤 型 防火 
墙 一 起 使 用 ， 并 要 作 好 日 志 。 


4. SOCKS 协议 

































































1) SOCKS 协议 的 组 成 

SOCKS 协议 〈 套 接 字 协 议 ) 是 一 个 电路 层 网 关 协 议 ， 它 主要 由 两 部 分 组 成 。 

(1) SOCKS 客户 程序 : 经 过 修改 的 Internet 客户 程序 。 改 造 的 目的 是 使 运行 客户 程序 
的 主机 从 与 Internet 通信 改 为 与 运行 SOCKS 代理 的 主机 通信 。 

(2) SOCKS 服务 程序 ， 既 可 以 与 Internet 通信 又 可 以 与 内 部 网 络 通信 的 程序 。 
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2) SOCKS 代理 的 工作 过 程 

(1) 当 一 个 经 过 SOCKS 化 的 客户 程序 要 连接 到 Internet 时 ，SOCKS 就 会 截获 这 个 连 
接 ， 将 之 连接 到 运行 SOCKS 服务 器 的 主机 上 。 

(2) 连接 建立 后 ，SOCKS 客户 程序 发 送 如 下 信息 。 

@ 版 本 号 。 

@ 连接 请 求 命令 。 

@ 客户 端 端口 号 。 

@ 发 起 连接 的 用 户 名 。 

(3) 经 过 确认 后 ，SOCKS 服务 器 才 与 外 部 的 服务 器 建立 连接 。 


4.1.4 防火 墙 技术 之 三 一 一 包 过 滤 

1. 数据 包 及 其 结构 

在 网 络 中 传输 的 数据 是 从 应 用 程序 那里 递交 来 的 。 应 用 程序 递交 给 网 络 要 传输 的 数据 
后 ， 网 络 就 要 逐 层 向 下 ， 转 交 给 下 面 的 一 层 去 实施 ， 每 交 到 下 一 层 ， 就 要 按照 本 层 的 协议 
要 求 进行 一 次 打包 ， 形 成 不 同 协议 层 中 的 数据 包 (packet)， 直 到 物理 网 络 。 图 4.7 表明 在 
TCP/IP 网 络 中 数据 包 的 封装 与 解 包 过 程 。 图 中 的 虚 箭 线 为 发 送 端的 数据 封装 过 程 ， 实 箭 线 
表示 接收 端的 数据 解 包 过 程 。 


























应 用 层 
SMTP, Telnet ,FTP 数据 包 的 封装 
1 
传输 层 | | 
TCP,UDP, ICMP 传输 层 包头 | ” 包 体 
1 
网 络 层 数据 解 包 
IP 网 络 层 包头 包 体 
1 
网 络 接口 层 1 | 
ATM,Ethernet 等 链 路 层 包头 包 体 
图 4.7 TCP/IP 网 络 中 数据 包 的 封装 与 解 包 





应 当 注 意 ， 包 过 滤 是 根据 数据 包 的 特征 进行 的 ， 其 中 主要 根据 数据 包头 的 一 些 字段 的 
特征 进行 。 由 于 不 同 的 协议 所 规定 的 包头 格式 不 同 ， 因 此 在 制定 过 滤 规 则 前 ， 应 当 充 分 了 
解数 据 包 的 格式 。 图 4.8 中 列 出 了 其 他 一 些 常用 的 数据 包 的 格式 ， 供 本 书后 面 的 讨论 中 
使 用 。 

下 面 介绍 这 些 数据 包 中 可 以 体现 数据 包 特征 的 有 关 字 段 。 

(1) 源 地 址 (Source Address) 和 目的 地 址 (Destination Address): 它们 各 表明 数据 包 的 
源 全 地 址 和 目的 IP 地 址 。 根据 地 址 ， 还 可 以 判断 出 数据 流 的 方向 : 是 由 外 部 网 络 流入 内 部 
网 络 一 一 往 内 (流入 )， 还 是 由 内 部 网 络 流入 外 部 网 络 一 一 往外 (流出 )。 

(2) 标识 符 : 是 发 送 方 分 配 的 一 个 独一无二 的 编号 ， 用 于 标识 同一 数据 报 中 的 各 分 组 ， 
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版 本 头 标 长 服务 类 型 总 长 
标识 标志 片 偏 移 
生存 时 间 协议 报头 校 验 和 
源 IP 地 址 
目的 IP 地 址 
IP 分 组 选项 填充 
数据 
(a) IP 分 组 格式 
UDP 源 端口 ”| UDP 目的 端口 0 a 
UDP 数据 报 长 度 | ”UDP 校 验 和 类 型 码 代码 校 验 和 
i 首部 其 余部 分 
a 数据 部 分 
(b) UDP 数 据 报 格式 (c) ICMP 分 组 的 格式 
图 4.8 一些 数据 包 的 格式 
(3) 源 端口 (Source Port) 和 目的 端口 (Destination Port): 在 TCP 和 UDP 数据 包 中 ， 


源 端口 和 目的 端口 分 别 表 示 本 地 通信 端口 和 异地 通信 端口 。 端 口号 是 按照 协议 类 型 分 配 的 ， 
所 以 端口 号 也 表明 了 所 传输 的 数据 包 服务 的 协议 类 型 。 

(4) 协议 (Protocol): 在 IP 数据 包 中 ,“ 协 议 ” 字 段 用 于 标识 接收 的 IP 分 组 中 的 数据 
的 高 层 (传输 层 ) 协议 。 高 层 协议 号 由 TCP/IP 协议 中 央 权 威 机 构 NIC (Network Information 
Center) 分 配 ， 例 如 ，1 为 控制 报 文 协议 ICMP，6 为 传输 控制 协议 TCP，8 为 外 部 网 关 协 议 
EGP，17 为 用 户 数据 报 协议 UDP，29 为 传输 层 协议 第 4 类 ISO-TP4。 

(5) 服务 类 型 (Type of Service，ToS): 在 IP 数 据 包 中 ，ToS 描述 IP 分 组 所 希望 获得 
的 服务 质量 ， 占 8 位 ， 包 括 如 下 几 项 。 

@ 低 延 迟 、 高 和 春 吐 量 、 高 可 靠 性 ， 各 占 lb。 

@ 优先 级 ， 共 8 级 ， 占 3b。 

@ 未 用 2b。 

表 4.3 列 出 了 REFC 1349[Almquist 1992] 对 于 不 同 应 用 建议 的 ToS 值 。 


表 4.3 RFC 1349[Almquist 1992] 对 于 不 同 应 用 建议 的 ToS 值 

















应 用 程序 最 小 时 延 最 高 可 靠 性 最 小 费用 十 六 进 制 值 

Telnet/Rlogin 1 0 0 Ox10 
控制 1 0 0 Ox10 
FTP 数据 0 0 0 Ox08 
任意 块 数据 0 0 0 Ox08 
TFTP 1 0 0 Ox10 
命令 1 0 0 Ox10 

SMTP 
数据 0 0 0 Ox08 
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应 用 程序 最 小 时 延 最 高 可 靠 性 最 小 费用 十 六 进 制 值 
| UDP 查询 1 0 0 Ox10 
DNS | TCP 查询 0 0 0 Ox00 
| 区 域 传输 0 0 0 Ox08 
| 差错 0 0 0 Ox00 
ICMP | 查询 0 0 0 0x00 
| 任何 IGP 0 1 0 0x04 
SNMP 0 1 0 Ox04 
BOOTP 0 0 0 0x00 
NNTP 0 0 1 Ox02 








(6) 数据 包 内 容 ， 前 面 的 5 个 字段 都 来 自 数据 包头 中 ， 而 数据 内 容 则 是 来 自 数据 包 体 
中 。 例 如 ， 数 据 内 容 中 一 些 关键 词 可 以 代表 数据 内 容 的 某 一 方面 的 特征 。 对 数据 包 内 容 的 
抽取 将 会 形成 依据 内 容 的 包 过 滤 (packet filtering) 规则 。 这 是 目前 包 过 滤 技 术 研究 的 一 个 
重要 方面 。 


2. 包 过 滤 安全 策略 的 制定 


早期 的 包 过 滤 是 在 路 由 器 上 进行 的 。 通 过 对 路 由 表 的 配置 来 决定 数据 包 是 否 符合 过 滤 
规则 。 数 据 包 的 过 滤 规 则 ( 即 访问 控制 列表 ，ACL) 由 一 些 规则 逻辑 描述 :一 条 过 滤 规 则 
规定 了 允许 数据 包 流 进 或 流出 内 部 网 络 的 一 个 条 件 。 

在 制定 了 数据 包 过 滤 规 则 后 ， 对 于 每 一 个 数据 包 ， 路 由 器 会 从 第 一 条 规则 开始 逐条 进 
行 检查 ， 最 后 决定 该 数据 包 是 否 符合 过 滤 逻 辑 。 

包 过 滤 的 核心 技术 是 安全 策略 和 过 滤 原 则 的 设计 。 其 大 致 步骤 如 下 。 

(1) 进行 安全 需求 分 析 ， 确 定安 全 策略 。 根 据 网 络 的 具体 情况 ， 确 定 需 要 保护 什么 ， 
需要 提供 什么 服务 ， 进 一 步 明 确 所 允许 和 禁止 的 任务 。 

(2) 将 安全 策略 转化 为 一 个 数据 包 过 滤 规 则 表 。 过 滤 规 则 的 设计 主要 依赖 于 数据 包 中 
的 信息 : 源 地 址 、 目 标 地 址 、TCP/UDP 源 端口 号 、TCP/UDP 目的 端口 号 、 标 志 位 、 协 议 以 
及 内 容 等 。 

制定 包 过 滤 规 则 的 一 条 基本 原则 是 “最 小 特权 原则 ”。 从 安全 的 角度 ， 默 认 拒 绝 应 该 更 
可 靠 。 此 外 ， 包 过 滤 还 有 禁 入 和 禁 出 的 区 别 。 前 者 不 允许 指定 的 数据 包 由 外 部 网 络 流入 内 
部 网 络 ， 后 者 不 允许 指定 的 数据 包 由 内 部 网 络 流入 外 部 网 络 。 

此 外 ， 在 制定 过 滤 规 则 时 ， 除 了 明确 禁止 和 允许 的 规则 外 ， 还 应 考虑 对 明确 的 规则 没 
有 考虑 到 的 其 他 情况 的 过 滤 规 则 。 这 些 针 对 “其 他 ”情况 的 规则 称 为 默认 规则 。 默 认 规则 
可 以 采用 如 下 原则 之 一 。 

@ 默认 接受 (转发 )， 凡 未 被 禁止 的 ， 就 是 允许 的 ， 即 除 明 确 指 定 禁 止 的 数据 包 ， 其 
他 都 是 允许 通过 转发) 的。 这 也 称 为 “ 黑 名 单 ” 策 略 。 

@ 默认 拒绝 (丢弃 ): 凡 未 被 允许 的 ， 就 是 禁止 的 ， 即 除 明 确 指 定 通 过 的 数据 包 ， 其 
他 都 是 被 禁止 丢弃) 的 。 这 也 称 为 “ 白 名 单 ” 策 略 。 


























(3) 用 过 滤 规 则 语法 描述 过 滤 罗 辑 。 
(4) 按照 过 滤 罗 和 辑 对 路 由 器 进行 设置 。 


3. 路 由 器 进行 包 过 滤 的 过 程 


(1) 包 过 滤 规 则 必须 被 包 过 滤 设 备 端口 存储 起 来 。 应 用 于 包 的 规则 顺序 与 包 过 滤器 规 
则 的 存储 顺序 必须 相同 。 

(2) 当 包 到 达 端 口 时 , 对 包头 进行 语法 分 析 。 大 多 数 包 过 滤 设 备 只 检查 IP、TCP 或 UDP 
报头 中 的 字段 。 

(3) 按照 以 下 规则 进行 过 滤 操 作 。 

@ 若 一 条 规则 阻止 包 传输 或 接收 ， 则 此 包 便 不 被 允许 。 

@ 若 一 条 规则 允许 包 传 输 或 接收 ， 则 此 包 便 可 以 被 继续 处 理 。 

@ 若 没 有 一 条 规则 匹配 ， 就 执行 默认 操作 。 

显然 ， 过 滤 效 果 与 规则 的 排列 顺序 有 关 。 


4. 基于 地 址 的 数据 包 过 滤 策 略 


按照 地 址 进行 过 滤 是 最 简单 的 过 滤 方 式 ， 它 的 过 滤 规 则 只 对 数据 包 的 源 地 址 、 目 的 地 
址 和 地 址 偏 移 量 进行 判断 ， 这 在 路 由 器 上 是 非常 容易 配置 的 。 对 于 信誉 不 好 或 内 容 不 宜 并 
且 地 址 确定 的 主机 ， 用 这 种 策略 通过 简单 配置 就 可 以 将 之 拒 之 门 外 。 但 是 ， 对 于 攻击 尤其 
是 地 址 欺骗 攻击 的 防御 ， 过 滤 规 则 的 配置 就 要 复杂 多 了 。 下 面 分 儿 种 情形 分 别 考 虑 。 

1) 针对 IP 源 地 址 欺骗 攻击 的 配置 

对 于 攻击 者 伪装 内 部 用 户 的 IP 地 址 攻击 ， 可 以 按照 下 面 的 原则 配置 过 滤 规 则 ， 如 果 发 
现 具有 内 部 地 址 的 数据 包 到 达 路 由 器 的 外 部 接口 ， 就 将 其 丢弃 。 

显然 ， 这 种 规则 对 于 外 部 主机 冒充 另外 一 台 主 机 的 攻击 则 无 能 为 力 。 

2) 针对 源 路 由 攻击 的 配置 

攻击 者 有 时 为 了 躲 过 网 络 的 安全 设施 ， 要 为 数据 包 指 定 一 个 路 由 ， 这 条 路 由 可 以 使 数 
据 包 以 不 期 望 路 径 到 达 目 标 。 对 付 这 种 攻击 的 过 滤 规 则 是 丢弃 所 有 含有 源 路 由 的 数据 包 。 

3) 针对 小 分 片 攻击 的 配置 

当 一 个 IP 包 太 长 时 ,就 要 对 其 进行 分 片 传输 。 分 组 后 ， 传 输 层 的 首部 只 出 现在 IP 层 的 
第 1 片 中 。 攻 击 者 利用 IP 分 片 的 这 一 特点 ， 往 往 会 建立 极 小 的 分 片 ， 希 望 过 滤 路 由 器 只 检 
查 第 1 片 ， 而 忽略 后 面 的 分 组 。 

对 付 小 分 段 攻击 的 策略 是 丢弃 FO 为 1 的 TCP、UDP 数据 包 。 

例 4.2 某 公司 有 一 个 B 类 网 (123.45)。 该 网 的 子 网 (123.45.6.0/24) 有 一 个 合作 网 络 
(135.79)。 管 理 员 希望 : 

(1) 禁止 一 切 来 自 Internet 的 对 内 网 的 访问 。 

(2) 允许 来 自 合作 网 络 的 所 有 子 网 (135.79.0.0/16) 访问 内 网 (123.45.6.0/24)。 

(3) 禁止 对 合作 网 络 的 子 网 (135.79.99.0/24) 的 访问 权 (对 全 网 开放 的 特定 子 网 除外 )。 
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为 简单 起 见 ， 只 考虑 从 合作 网 络 流向 公司 的 数据 包 ， 对 称 地 处 理 逆向 数据 包 只 需 互 换 
规则 行 中 源 地 址 和 目的 地 址 即 可 。 表 4.4 为 其 网 络 ACL。 其 中 ， 规 则 C 是 默认 规则 。 


表 4.4 某 公 司 网 络 的 ACL 


规则 过 让 操作 
A 多 放 
B 折 纺 
c 6 纺 





表 4.5 是 使 用 一 II 过 滤 规 则 的 测试 结果 。 需 要 注意 的 是 ， 规 则 
的 执行 顺序 对 于 执行 结果 有 很 大 的 影 


表 4.5 使 用 样本 数据 包 测试 结果 


BAC 行为 操作 
拒绝 (B) 
#6 (3) 
f(A) 
Eg (0 


可 见 ， 按 ABC 的 规则 顺序 ， opp mp dade eke 
到 预期 的 操作 结果 ， 原 本 允许 的 数据 包 2 被 拒绝 了 。 仔 细 分 析 可 以 发 现 ， 表 4.3 中 用 来 禁 
合作 网 的 特定 子 网 的 访问 规则 B 是 不 必要 的 。 它 正大 ep poh ned 
的 原因 。 如 果 删 除 规则 B， 得 到 表 4.6 所 示 的 行为 操作 。 


表 4.6 删除 规则 B 后 的 行为 操作 
数据 包 | AC 行为 操作 
! TT TT 拒绝 (C) 
2 Ac 
I i (A) 
4 | sn | wis | 多 | ce 


这 才 是 想 要 的 结果 。 由 此 得 出 两 点 结论 。 
(1) 正确 地 制定 过 滤 规 则 是 困难 的 。 
(2) 过 滤 规 则 的 重新 排序 使 得 正确 地 指定 规则 变 得 越发 困难 。 


5. 基于 服务 的 数据 包 过 滤 策 略 











按 服务 进行 过 滤 ， 就 是 根据 TCP/UDP 的 端口 号 制定 过 滤 策 略 。 但 是 ， 由 于 源 端 口 是 可 
以 伪装 的 ， 所 以 基于 源 端口 的 过 滤 是 会 有 风险 的 。 同 时 还 需要 确认 内 部 服务 确实 是 在 相应 
的 端口 上 。 下 面 进行 一 些 分 析 。 

1) 关于 外 部 服务 的 端口 号 

如 果 过 滤 规 则 完全 依赖 于 外 部 主机 的 端口 号 ， 例 如 ， 人 允许 内 部 主机 向 外 部 服务 器 的 邮 
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件 发 送 服务 ， 而 且 TCP 的 端口 25 就 是 常规 邮件 (STMP) 端口 时 ， 这 样 的 配置 是 安全 的 。 
但 是 ， 包 过 滤 路 由 器 是 无 法 控制 外 部 主机 上 的 服务 确实 在 常规 的 端口 上 ， 攻 击 者 往往 会 通 
过 伪造 ， 利 用 端口 25 向 内 部 主机 发 送 其 他 应 用 程序 〈 非 常规 邮件 ) 的 数据 包 ， 建 立 连接 ， 
进行 非 授权 访问 。 这 时 ， 只 能 禁止 25 端口 对 于 内 部 主机 的 访问 。 因 为 内 部 主机 对 这 个 外 部 
端口 不 能 信任 。 

2) 关于 内 部 主机 的 源 端口 号 

从 内 部 到 外 部 的 TCP/UDP 连接 中 , 内 部 主机 的 源 端 口 一 般 采 用 大 于 1024 的 随机 端口 
为 此 ， 对 端口 号 大 于 1024 的 所 有 返回 到 内 部 的 数据 包 都 要 人 允许， 不 过 ， 还 需要 辨认 端口 号 
大 于 1024 的 数据 包 中 哪些 是 伪造 的 。 

对 于 TCP 数据 包 来 说 ， 可 以 通过 flag 位 辨认 哪些 是 来 自 外 部 的 连接 请 求 。 但 是 UDP 
是 无 连接 的 ， 没 有 这 样 的 flag 位 可 使 用 ， 只 能 辨认 端口 号 。 所 以 允许 UDP 协议 对 外 访问 会 
带 来 风险 ， 因 为 返回 的 数据 包 上 的 端口 号 有 可 能 是 攻击 者 伪造 的 。 当 请 求 端口 和 目的 端口 
都 固定 时 ， 这 个 问题 才能 解决 。 

例 4.3 表 4.7 与 表 4.8 就 是 否 考虑 数据 包 的 源 端口 进行 对 照 。 表 4.7 所 示 的 规则 表 由 于 
未 考虑 到 数据 包 的 源 端 口 ， 出 现 了 两 端 所 有 端口 号 大 于 1024 的 端口 上 的 非 预期 的 作用 。 而 
表 4.8 所 示 的 规则 表 考 虑 到 数据 包 的 源 端口 ， 所 有 规则 限定 在 25 号 端口 上 ， 故 不 可 能 出 现 
两 端 端口 号 均 在 1024 以 上 的 端口 上 连接 的 交互 。 























表 4.7 未 考虑 源 端 口 时 的 包 过 滤 规则 




















4.1.5 防火墙 技术 之 四 一 一 状态 检测 

状态 检测 (stateful-inspection〉 防 火 墙 又 称 动态 包 过 滤 防 火 墙 ， 是 第 三 代 防火 墙 技术 ， 
它 通 过 安装 在 网 关 的 软件 一 一 检查 引擎 ， 在 不 影响 网 络 正常 运行 的 前 提 下 ， 截 获 数据 包 并 
抽取 有 关 数 据 对 网 络 的 各 层 进行 实时 检测 ， 跟 踪 每 一 个 有 效 连接 的 状态 ， 并 根据 这 些 信息 
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决定 对 该 连接 是 接受 还 是 拒绝 。 这 种 技术 提供 了 高 度 安 全 的 解决 方案 ， 同 时 具有 较 好 的 适 
应 性 和 扩展 性 。 


1. 静态 数据 包 过 滤 的 问题 


相对 于 状态 检测 防火 墙 而 言 ， 前 面 介绍 的 数据 包 过 滤 也 被 称 为 无 状态 数据 包 过 滤 。 
为 它 仅 单独 分 析 每 一 个 数据 包 ， 不 考虑 包 内 高 层 的 信息 以 及 不 同 包 之 间 的 逻辑 关系 ， 也 不 
关心 数据 传输 的 状态 。 这 就 会 为 攻击 者 提供 机 会 。 

例 4.4 一 个 防火 墙 的 过 滤 规 则 为 将 目标 端口 入 1203 的 数据 包 丢 弃 。 这 样 , 一 位 攻击 者 
可 以 连续 地 发 一 系列 伪装 的 TCP ACK 包 ， 每 个 包 的 端口 分 别 为 1200、1201、1202、1203、 
1204。 尽 管 这 一 系列 包 都 是 违背 TCP 协议 的 ， 因 为 发 起 连接 必须 是 SYN 包 , 但 防火 墙 并 不 
检测 TCP 的 标志 位 ， 仅 检测 端口 号 ， 阻挡 了 前 3 个 数据 包 ， 放 过 了 端口 号 为 1204 的 包 。 这 
个 包 到 达 主 机 后 ， 主 机 依据 TCP 协议 发 现 了 问题 , 会 发 一 个 RST 包 通 知 发 送 者 终止 本 次 连 
接 。 不 过 ， 这 恰 中 了 攻击 者 的 之 计 ， 使 攻击 者 通过 防火 墙 对 内 部 某 主 机 进行 了 一 次 半 连 接 
扫描 攻击 。 

2. 状态 检测 防火 墙 的 状态 表 

状态 检测 防火 墙 也 称 为 动态 包 过 滤 防 火 墙 ， 其 检测 引擎 监视 和 跟踪 每 一 个 有 效 连接 的 
状态 ， 动 态 地 维护 一 个 状态 信息 表 ， 通 过 规则 表 与 状态 表 的 共同 配合 ， 对 表 中 的 各 个 连接 
状态 因素 加 以 识别 。 下 面 分 别 介绍 为 TCP 包 和 UDP 包 建 立 状 态 表 的 方法 。 

1) TCP 包 

众所周知 ， 一 个 TCP 传输 是 在 三 次 握手 之 后 进行 的 。 因 此 ， 可 以 把 TCP 包 分 为 两 类 : 
握手 包 和 传输 数据 包 。 它 们 的 区 别 在 包 中 的 6 个 标志 位 上 。 当 第 一 个 带 有 SYN 标志 的 数据 
包 经 过 防火 墙 时 ， 防 火 墙 会 根据 报 文 的 五 元 组 信息 ( 源 人 P 地 址 、 源 端口 、 目 的 耳 地址 、 目 
的 端口 、 连 接 状 态 ) 检查 自己 的 规则 集 ， 如 果 规 则 允许 该 报 文通 过 ， 则 把 该 报 文 的 五 元 组 














信息 写 入 状态 表 并 根据 路 由 表 转 发 该 报 文 。 然 后 防火 墙 会 设置 一 个 超时 时 间 ， 并 等 待 服务 
器 端 SYN/ACK 标志 位 为 一 的 报 文 过 来 ， 如 果 在 超时 时 间 内 防火 墙 收 到 了 来 自 服务 器 的 
SYN/ACK 标志 位 置 一 的 数据 报 文 ， 则 状态 表 建 立 完成 ， 如 果 在 超时 时 间 内 未 收 到 来 自 服务 
器 的 SYN/ACK 报 文 ， 则 状态 表 建 立 失败 。 
表 4.9 为 状态 检测 防火 墙 状态 表 的 一 个 实例 。 
表 4.9 状态 检测 防火 墙 状态 表 的 一 个 实例 
















源 全 地 址 目的 人 P 地 址 














192.168.1.100 | 1030 210.9.88.29 80 | 已 建立 
192.168.1.102 | 1031 216.32.42.123 80 | 已 建立 
192.168.1.101 | 1033 173.66.32.122 25 | 已 建立 
192.168.1.102 | 177.231.32.12 | 已 建立 





223.43.21.231 192.168.1.6 


状态 检测 防火 墙 将 属于 同一 连接 的 所 有 包 作为 一 个 整体 的 数据 流 看 待 ， 对 于 外 部 传 来 
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的 TCP 数据 包 ， 首 先 检 查 它 是 否 握手 包 ， 如 果 是 握手 包 ， 就 看 其 是 否 内 网 主机 期 待 的 包 ， 
是 则 人 允许， 否则 拒绝 。 如 果 不 是 握手 包 ， 则 检查 状态 表 中 所 记录 的 连接 状态 ， 如 果 属 于 已 
经 建立 的 连接 ， 则 允许 其 通行 ， 否 则 将 其 清除 。 因 此 ， 与 简单 包 过 滤 相 比 ， 状 态 检测 防火 
墙 可 以 为 包 过 滤 提 供 更 准确 的 信息 ， 具 有 更 高 的 安全 性 ， 但 也 消耗 较 多 的 计算 资源 。 状 态 
检测 防火 墙 是 一 种 基于 状态 检测 的 包 处 理 器 。 

2) UDP 包 

UDP 包 比 较 简单 ， 不 携带 任何 连接 或 序列 信息 ， 只 包含 源 PP 地 址 、 目 的 卫 地 址 、 源 
端口 号 、 目 的 端口 号 、 校 验 和 以 及 所 携带 的 数据 。 有 些 状态 检测 的 设备 也 可 以 针对 UDP、 
ICMP 协议 的 交互 过 程 建立 状态 表 。 但 是 这 种 状态 表 是 以 虚 连 接 (virtual connection) 为 基 
础 的 ， 即 将 所 有 通过 防火 墙 的 UDP 分 组 均 视 为 一 个 虚 连 接 ， 当 反 向 应 答 分 组 送 达 时 ， 就 认 
为 一 个 虚拟 连接 已 经 建立 。 如 果 在 指定 的 一 段 时 间 内 响应 数据 包 没有 到 达 ， 连 接 超时 ， 则 
该 连接 被 阻塞 。 所 以 状态 检测 技术 最 适合 提供 对 UDP 协议 的 有 效 支持 。 

3. 状态 检测 防火 墙 的 优点 

1) 更 高 的 安全 性 

实际 上 ， 现 在 状态 检测 防火 墙 并 非 仅仅 抽取 和 检测 传输 层 的 有 关 数 据 ， 它 工作 在 网 关 ， 
在 网 络 体系 中 处 于 数据 链 路 层 和 网 络 层 之 间 ， 从 这 里 截取 数据 包 ， 可 以 抽取 和 监测 各 层 的 
有 关 数 据 。 一 般 说 来 ， 状 态 检测 防火 墙 首先 在 低 协议 层 上 检查 数据 包 是 否 满足 企业 的 安全 
策略 ， 对 于 满足 的 数据 包 ， 再 从 更 高 协议 层 上 进行 分 析 。 并 且 ， 它 取 到 数据 包 后 ， 首 先 根 
据 安全 策略 从 数据 包 中 提取 有 用 信息 ， 保 存在 内 存 中 ; 然后 将 相关 信息 组 合 起 来 ， 通 过 届 
辑 或 数学 运算 来 决定 对 数据 包 进 行 什么 样 的 操作 : 允许 通过 、 拒 绝 通过 、 认 证 连接 、 加 密 








2) 更 高 的 效率 

由 于 状态 检测 防火 墙 工作 在 协议 栈 的 较 低层 ， 通 过 防火 墙 的 所 有 数据 包 都 在 低层 处 理 ， 
而 不 需要 协议 栈 的 上 层 处 理 任何 数据 包 ， 这 样 减少 了 高 层 协议 头 的 开销 ， 执 行 效率 提高 很 
多 。 其 次 ， 状 态 检测 防火 墙 不 要 求 每 个 访问 的 应 用 都 有 代理 。 第 三 ， 在 这 种 防火 墙 中 ， 一 
旦 一 个 连接 建立 起 来 ， 就 不 用 再 对 这 个 连接 做 更 多 工作 ， 系 统 可 以 去 处 理 别 的 连接 。 这 些 
都 使 状态 检测 防火 墙 执行 效率 明显 提高 。 

3) 更 好 的 扩展 性 

状态 检测 防火 墙 不 像 应 用 网 关 式 防 火 墙 那样 ， 每 一 个 应 用 对 应 一 个 服务 程序 ， 这 样 所 
能 提供 的 服务 是 有 限 的 ， 而 且 当 增加 一 个 新 的 服务 时 ， 必 须 为 新 的 服务 开发 相应 的 服务 程 
序 ， 这 样 系统 的 可 扩展 性 降低 。 状 态 检 测 防火 墙 不 区 分 每 个 具体 的 应 用 ， 只 是 根据 从 数据 
包 中 提取 出 的 信息 、 对 应 的 安全 策略 及 过 滤 规 则 处 理 数据 包 ， 当 有 一 个 新 的 应 用 时 ， 它 能 
动态 产生 新 的 应 用 规则 ， 而 不 用 另外 写 代 码 ， 所 以 具有 很 好 的 伸缩 性 和 扩展 性 。 

4) 配置 方便 ， 应 用 范围 广 

状态 检测 防火 墙 不 仅 支 持 基 于 TCP 的 应 用 , 而 且 支持 基于 无 连接 协议 的 应 用 , 如 RPC、 
“206 。 








基于 UDP 的 应 用 (DNS、WAIS、Archie 等 ) 等 。 对 于 无 连接 的 协议 ， 连 接 请 求 和 应 答 没 有 
区 别 , 包 过 滤 防 火 墙 和 应 用 网 关 对 此 类 应 用 要 么 不 支持 , 要 么 开放 一 个 大 范围 的 UDP 端口 ， 
这 样 暴 露 了 内 部 网 ， 降 低 了 安全 性 。 而 这 样 的 攻击 都 可 以 被 状态 检测 防火 墙 阻塞 ， 它 通过 
控制 无 效 连接 的 连接 时 间 , 避免 大 量 的 无 效 连接 占用 过 多 的 网 络 资源 , 可 以 很 好 地 降低 DoS 
和 DDoS 攻击 的 风险 。 

状态 检测 防火 墙 也 支持 RPC， 因 为 对 于 RPC 服务 来 说 ， 其 端口 号 是 不 定 的 ， 因 此 简 
单 地 跟踪 端口 号 不 能 实现 该 种 服务 的 安全 , 状态 检测 防火 墙 通过 动态 端口 映射 图 记录 端口 
号 ,为 验证 该 连接 ， 还 保存 连接 状态 、 程 序号 等 ， 通 过 动态 端口 映射 图 来 实现 此 类 应 用 的 
安生 

4. 状态 检测 防火 墙 的 缺点 


状态 检测 防火 墙 虽然 继承 了 包 过 滤 防 火 墙 和 应 用 网 关 防 火 墙 的 优点 ， 克 服 了 它们 的 缺 
点 ， 但 它 仍 只 是 检测 数据 包 的 第 三 层 信息 ， 无 法 彻底 识别 数据 包 中 大 量 的 垃圾 邮件 、 广 告 
以 及 木马 程序 等 。 

包 过 滤 防 火 墙 、 网 关 代理 防火 墙 以 及 状态 检测 防火 墙 都 有 固有 的 无 法 克服 的 缺陷 ， 不 
能 满足 用 户 对 于 安全 性 的 不 断 的 要 求 ， 于 是 深度 包 检 测 防火 墙 技术 被 提出 了 。 


4.1.6 网 络 防火 墙 部 署 
1. 屏蔽 路 由 器 〈screening router) 和 屏蔽 主机 (screening host) 


防火 墙 最 基本 ， 也 是 最 简单 的 技术 是 数据 包 过 滤 。 过 滤 规则 可 以 安装 在 路 由 器 上 ， 也 
可 以 安装 在 主机 上 。 有 共有 数据 包 过 滤 功 能 的 路 由 器 称 为 屏蔽 路 由 器 ， 具 有 数据 包 过 滤 功 能 
的 主机 称 为 屏蔽 主机 。 图 4.9 为 屏蔽 路 由 防火 墙 的 基本 结构 。 

路 由 器 是 内 部 网 络 与 Internet 连接 的 必要 设备 ， 是 一 种 “天 然 ”的 防火 墙 ， 它 除 具 有 路 
由 功能 之 外 ， 还 安装 了 分 组 / 包 过 滤 〈 数 据 包 过 滤 或 应 用 网 关 ) 软件 ， 可 以 决定 对 到 来 的 数 
据 包 是 否 要 进行 转发 。 这 种 防火 墙 实现 方式 简捷 ， 效 率 较 高 ， 在 应 用 环境 比较 简单 的 情况 
下 ， 能 够 以 较 小 的 代价 在 一 定 程度 上 保证 系统 的 安全 。 但 它 也 有 许多 不 足 。 

(1) 过 滤 路 由 器 是 在 网 关 之 上 实施 包 过 滤 ， 因 此 它 允 许 被 保护 网 络 的 多 台 主 机 与 
Intemet 的 多 台 主 机 直接 通信 。 这 样 ， 其 危险 性 便 分 布 在 被 保护 网 络 内 的 全 部 主机 以 及 允许 
访问 的 各 种 服务 器 上 ; 服务 越 多 ， 网 络 的 危险 性 也 就 越 大 。 

(2) 这 种 网 络 仅 靠 单一 的 部 件 来 保护 系统 ， 一 旦 部 件 被 攻破 ， 就 再 也 没有 任何 设防 了 ， 
且 防 火 墙 被 攻破 时 几乎 不 留 下 任何 痕迹 ， 难 以 发 现 已 发 生 的 攻击 。 

(3) 它 只 能 根据 数据 包 的 源 / 目 的 地 址 和 端口 等 网 络 信息 进行 判断 ， 无 法 识别 基于 应 用 
层 的 恶意 侵入 ， 如 恶意 的 Java 小 程序 以 及 电子 邮件 中 附带 的 病毒 。 有 经 验 的 黑客 很 容易 伪 
造 全 地址 骗 过 包 过 滤 弄 防火墙 ， 直 接 对 主机 上 的 软件 和 配置 漏洞 进行 攻击 。 

(4) 由 于 数据 包 的 源 地 址 、 目 的 地 址 以 及 了 IP 的 端口 号 都 在 数据 包 的 头 部 ， 很 有 可 能 
窃听 或 假冒 。 

(5) 数据 包 缺 乏 用 户 日 志 (log) 和 审计 信息 audit)， 不 具备 登录 和 报告 性 能 ， 不 能 进 
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行 审核 管理 ， 因 而 过 滤 规 则 的 完整 性 难以 验证 ， 所 以 安全 性 较 差 。 
2. 双 宿 主 主机 
如 图 4.10 所 示 ， 双 宿主 主机 (dual homed host， 也 称 为 双 穴 主机 ) 是 至 少 有 两 个 网 络 接 


口 的 主机 ， 每 个 接口 有 一 块 NIC (Network Interface Card， 网 络 接口 卡 ， 简 称 网 卡 ， 也 称 为 
网 络 适 配器 )， 各 有 一 个 卫 地 址 。 它 具有 如 下 功能 。 





























































































































二 全 站 加 
屏 项 路 由 器 |] 双 宿主 主机 
两 部 











图 4.9 屏蔽 路 由 防火 墙 图 4.10 双 宿 主 主机 网 关 防 火 墙 


(1) 在 所 连接 的 多 个 网 络 之 间 建 立 一 个 阻塞 点 ， 从 一 个 网 络 到 另 一 个 网 络 发 送 的 全 数 

(2) 与 它 相连 的 内 部 和 外 部 网 络 都 可 以 执行 由 它 所 提供 的 网 络 应 用 ， 如 果 这 个 应 用 多 
许 的 话 ， 它 们 就 可 以 共享 数据 。 

这 样 就 保证 内 部 网 络 和 外 部 网 络 的 某 些 节点 之 间 可 以 通过 双 宿 主 主 机 上 的 共享 数据 传 
递 信息 ， 但 内 部 网 络 与 外 部 网 络 之 间 却 不 能 直接 传递 信息 ， 从 而 达到 保护 内 部 网 络 的 作用 。 

在 双 宿 主 主机 中 可 以 采用 NAT 和 代理 两 种 安全 机 制 。 如 果 Internet 上 的 一 台 计算 机 想 
与 被 保护 网 络 (Intranet) 上 的 一 个 工作 站 通信 ， 必 须 先 注册 ， 与 它 能 看 到 的 IP 地 址 联系 ; 
代理 服务 器 软件 通过 另 一 块 NIC 启动 到 Intranet 的 连接 。 

双 宿 主 主机 使 用 代理 服务 器 简化 了 用 户 的 访问 过 程 ， 它 将 被 保护 网 络 与 外 界 完全 隔离 ， 
由 于 域名 系统 的 信息 不 会 通过 被 保护 系统 传 到 外 部 ， 所 以 系统 的 名 字 和 IP 地 址 对 Internet 
是 隐 巩 的 ， 做 到 对 用 户 全 透明 。 由 于 该 防火 墙 仍 是 由 单机 组 成 的 ， 没 有 安全 宛 余 机 制 ， 一 
且 该 “ 单 失效 点 ”出 问题 ， 网 络 将 无 安全 可 言 。 


3. 堡 全 主机 


1) 保 垒 主机 (bastion host) 的 特性 

(1) 它 是 专门 暴露 给 外 部 网 络 上 的 一 台 计算 机 ， 是 被 保护 的 内 部 网 络 在 外 网 上 的 代表 ， 
并 作为 进入 内 部 网 的 一 个 检查 点 。 

(2) 它 面 对 大 量 恶意 攻击 的 风险 ， 并 且 它 的 安全 对 于 建立 一 个 安全 周边 具有 重要 作用 ， 
因此 必须 强化 对 它 的 保护 ， 使 风险 降 至 最 小 。 
(3) 它 通 常 提供 公共 服务 ， 如 邮件 服务 、WWW 服务 、FTP 服务 和 DNS 服务 等 。 
(4) 堡 参 主 机 与 内 部 网 络 是 隔离 的 。 它 不 知道 内 部 网 络 上 的 其 他 主机 的 任何 系统 细节 ， 
如 内 部 主机 的 身份 认证 服务 和 正在 运行 的 程序 的 细节 。 这 样 ， 对 堡垒 主机 的 攻击 不 会 殊 及 
内 部 网 络 。 

所 以 ， 堡 又 主机 是 一 个 被 强化 的 、 被 暴露 在 被 保护 网 络 外 部 的 、 可 以 预防 进攻 的 计 
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算 机 。 

2) 保 杀 主机 的 单 连 点 和 双 连 点 结构 

(1) 单 连 点 集 垒 主机 过 滤 式 防火 墙 。 单 连 点 煲 垒 主机 过 滤 式 防火 墙 的 结构 如 图 4.11 所 
示 。 它 实现 了 网 络 层 安 全 〈 包 过 滤 ) 和 应 用 层 安 全 (代理 )， 具 有 比 单纯 包 过 滤 更 高 的 安全 
等 级 。 



































































过 滤 网 关 











内 部 网 
图 4.11 单 连 点 堡 侄 主机 过 滤 式 防火 墙 


在 该 系统 中 ， 供 又 主机 被 配置 在 过 滤 路 由 器 的 后 方 ， 并 且 过 滤 规 则 的 配置 使 得 外 部 主 
机 只 能 访问 保 杀 主机， 发 往 内 部 网 的 其 他 业务 流 则 全 部 被 阻塞 。 对 于 内 部 主机 来 说 ， 由 于 
内 部 主机 和 堡 人 主机 同 在 一 个 内 部 网 络 上 ， 所 以 机 构 的 安全 策略 可 以 做 出 以 下 决定 ， 是 内 
部 系统 允许 直接 访问 外 部 网 ， 还 是 要 求 使 用 配置 在 保 刍 主机 上 的 代理 服务 。 当 配置 路 由 器 
的 过 滤 规 则 使 其 仅仅 接收 来 自 堡垒 主机 的 内 部 业务 流 时 ， 内 部 用 户 就 不 得 不 使 用 代理 服务 。 

主机 过 滤 防火 墙 具 有 双重 保护 ， 从 外 网 来 的 访问 只 能 到 达 保皇 主机 ， 而 不 允许 访问 被 
保护 网 络 的 其 他 资源 ， 有 较 高 的 安全 可 靠 性 。 并 且 主机 过 滤 网 关 能 有 选择 地 允许 那些 可 以 
信赖 的 应 用 程序 通过 路 由 器 ， 是 一 种 非常 灵活 的 防火 墙 。 但 是 它 要 求 考虑 到 保 杀 主机 和 路 
由 器 两 个 方面 的 安全 性 。 如 果 路 由 器 中 的 访问 控制 表 允 许 某 些 访问 通过 路 由 器 ， 则 防火 墙 
管理 员 不 仅 要 管理 保 鱼 主机 中 的 访问 控制 表 ， 而 且 要 管理 路 由 器 中 的 访问 控制 表 ， 并 要 求 
对 这 两 个 部 件 仔细 配置 以 便 它们 能 协调 工作 。 此 外 ， 系 统 的 灵活 性 也 会 导致 走 捷 径 〔 例 如 
用 户 可 能 试图 避 开 代理 服务 器 直接 与 路 由 器 建立 联系 ) 而 破坏 安全 性 。 

(2) 双 连 点 堡 刍 主 机 过 小 式 防火 墙 。 

双 连 点 堡 急 主 机 过 滤 式 防火 墙 的 结构 如 图 4.12 所 示 。 它 比 单 连 点 堡 华 主 机 过 滤 式 防火 













































































图 4.12 双 连 点 堡垒 主机 过 渡 式 防火 
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墙 有 更 高 的 安全 等 级 。 由 于 煲 爸 主机 具有 两 个 网 络 接口 ， 除 了 外 部 用 户 可 以 直接 访问 信息 
服务 器 外 ， 外 部 用 户 发 往 内 部 网 络 的 业务 流 和 内 部 系统 对 外 部 网 络 的 访问 都 不 得 不 经 过 保 
垒 主机， 以 提高 附加 的 安全 性 。 

在 这 种 系统 中 ， 由 于 保 双 主 机 成 为 外 部 网 络 访问 内 部 网 络 的 唯一 入 口 ， 所 以 对 内 部 网 
络 的 可 能 安全 威胁 都 集中 到 了 堡垒 主机 上 。 因 而 对 堡垒 主机 的 保护 强度 关系 到 整个 内 部 网 
的 安全 。 


4. 屏蔽 子 网 防火 墙 


屏蔽 子 网 〈screened subnet) 防火 墙 是 在 被 保护 网 络 和 Intemet 之 间 设 置 一 个 独立 的 子 
网 作为 防火 墙 。 具体 的 配置 方法 是 在 过 滤 主 机 的 配置 上 再 加 上 一 个 路 由 器 ， 形 成 具有 外 训 
路 由 过 滤器 、 内 部 路 由 过 滤器 和 应 用 网 关 3 道 防线 的 过 滤 子 网 ， 如 图 4.13 所 示 。 






















































外 部 路 由 器 




















图 4.13 子 网 过 滤 防 火 墙 配置 


在 屏蔽 子 网 防火 墙 中 ， 外 部 过 滤 路 由 器 用 于 防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 源 
路 由 攻击 )， 并 管理 外 部 网 到 过 滤 子 网 的 访问 。 外 部 系统 只 能 访问 到 堡 又 主机， 通过 保健 主 
rere 内 部 过 滤 路 由 器 管理 过 滤 子 网 与 内 部 网 络 之 间 的 访问 ， 内 部 系 

也 只 能 访问 到 堡垒 主机 ， 通 过 堡垒 主机 向 外 部 网 络 发 送 数 据 包 。 简 单 地 说 ， 任 何 跨越 子 
teeth eh 从 而 在 两 个 路 由 器 之 间 定 义 了 一 个 “ 非 军 事 区 ” 
(De-Militarized Zone，DMZ)， 表 明 内 部 网 络 距 离 外 部 网 络 更 远 ， 更 安全 。 这 种 配置 的 防火 
墙 具 有 最 高 的 安全 性 ， 但 是 它 要 求 的 设备 和 软件 模块 较 多 ， 价 格 较 贵 ， 且 相当 复杂 。 


4.2 ”网 络 的 物理 隔离 技术 





4.2.1 ”物理 隔离 的 概念 
1. 问题 的 提出 


20 世纪 末期 ,“ 政 府 上 网 ”热潮 把 我 国 的 信息 化 带 进 了 一 个 新 的 高 度 。 政 府 上 网 不 仅 表 
明 Internet 已 经 进入 了 一 个 非常 重要 的 领域 ， 而 且 为 信息 系统 安全 技术 提出 了 新 的 课题 。 政 
府中 有 许多 敏感 的 数据 以 及 大 量 机 密 数据 ， 也 有 最 为 国民 关心 的 信息 。 目 前 虽然 开发 了 各 
种 防火 墙 、 病 毒 防 治 系统 以 及 入 侵 检测 、 安 全 预警 、 漏 洞 扫描 等 安全 技术 ， 但 却 并 没有 完 
全 阻止 入 侵 ， 内 部 网 络 被 攻破 的 事件 屡 有 发 生 ， 据 统计 有 近 半 数 的 防火 墙 被 攻破 过 。 为 此 ， 
国家 保密 局 2000 年 1 月 1 日 起 实施 的 《计算 机 信息 系统 国际 联网 保密 管理 规定 》 第 二 章 第 








21l0s 


六 条 要 求 :“ 涉 及 国家 机 密 的 计算 机 信息 系统 ， 不 得 直接 或 间接 地 与 国际 互联 网 或 其 他 公共 
信息 网 络 相 连接 ， 必 须 实行 物理 隔离 。” 

学 术 界 一 般 认 为 ， 最 早 提出 物理 隔离 技术 的 是 以 色 列 和 美国 的 军 方 ， 主 要 用 于 解决 涉 
密 网 络 与 公共 网 络 连 接 时 的 安全 。 我 国 也 有 庞大 的 政府 涉 密 网 络 和 军事 涉 密 网 络 ， 但 是 我 
国 的 涉 密 网 络 与 公共 网 络 ， 特 别 是 与 Internet 无 任何 关联 的 独立 网 络 ， 不 存在 与 Internet 的 
信息 交换 ， 也 用 不 着 使 用 物理 隔离 网 闻 解 决 信息 安全 问题 。 所 以 ， 在 电子 政务 、 电 子 商 务 
之 前 ， 物 理 隔 离 网 闸 在 我 国 因 无 市 场 需求 ， 产 品 和 技术 发 展 较 慢 。 

随 着 我 国信 息 化 建设 步伐 的 加 快 ， 电 子 政务 的 急速 展开 ， 物 理 隔 离 的 问题 才 突出 地 提 
到 议事 日 程 上 来 ， 成 为 我 国信 息 安全 产业 发 展 的 一 个 新 的 增长 点 。2002 年 8 月 15 日 ,《 国 
家 信息 化 领导 小 组 关于 我 国电 子 政务 建设 的 指导 意见 》( 中 办 17 号 文件 ) 提出 了 “十 五 ” 
期 间 我 国电 子 政务 建设 的 主要 任务 之 一 是 :“ 建 设 和 整合 统一 的 电子 政务 网 络 。 为 适应 业务 
发 展 和 安全 保密 的 要 求 ， 有 效 过 制 重复 建设 ， 要 加 快 建设 和 整合 统一 的 网 络 平台 。 电 子 政 
务 网 络 由 政务 内 网 和 政务 外 网 构成 ， 两 网 之 间 物 理 隔离， 政务 外 网 与 Internet 之 间 迪 辑 隔 
离 。 政 务 内 网 主要 是 副 省 级 以 上 政务 部 门 的 办 公 网 ， 与 副 省 级 以 下 政务 部 门 的 办 公 网 物理 

隔离 。 政 务 外 网 是 政府 的 业务 专 网， 主要 运行 政务 部 门面 向 社会 的 专业 性 服务 业务 和 不 需 

在 内 网 上 运行 的 业务 。 要 统一 标准 ， 利 用 统一 平台 ， 促 进 各 个 业务 系统 的 互联 互通 、 资 源 
共享 。 要 用 一 年 左右 的 时 间 , 基本 形成 统一 的 电子 政务 内 外 网 络 平台 , 在 运行 中 逐步 完善 。” 

简单 地 说 ， 如 图 4.14 所 示 ， 政 务 网 应 当 跨 越 公 网 、 外 网 和 内 网 。 其 安全 要 求 如 下 。 

(1) 在 公 网 和 外 网 之 间 实 行 逻辑 隔离 。 

(2) 在 内 网 和 外 网 之 间 实 行 物理 隔离 。 


























逻辑 隔离 物理 隔离 


图 4.14 电子 政务 的 三 网 
2. 物理 隔离 的 术语 及 其 理解 


但 是 到 目前 为 止 ， 并 没有 完整 的 关于 物理 隔离 技术 的 定义 和 标准 。 从 不 同时 期 的 用 词 
也 可 以 看 出 ， 物 理 隔 离 技术 一 直 在 演变 和 发 展 。 

较 早 的 用 词 为 Physical Disconnection。Disconnection 有 使 断 开 、 切 断 、 不 连接 的 意思 ， 
直译 为 物理 断 开 。 这 是 在 还 没有 解决 涉 密 网 与 Intemet 连接 后 出 现 的 很 多 安全 问题 的 技术 手 
段 之 前 的 说 法 ， 在 无 可 奈何 的 情况 下 ， 只 有 先 断 开 再 说 。 

后 来 使 用 了 词汇 Physical Separation。Separation 有 分 开 、 分 离间 隔 和 距离 的 意思 ， 直 译 
为 物理 分 开 。 

但 是 光 分 开 不 是 办 法 ， 理 智 的 策略 应 当 是 为 该 连 即 连 ， 不 该 连 则 不 连 。 为 此 要 把 该 连 
的 部 分 与 不 该 连 的 部 分 分 开 。 于 是 有 了 Physical Isolation。Isolation 有 孤立 、 隔 离 、 封 闭 、 
绝缘 的 意思 ， 直 译 为 物理 封闭 。 
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事实 上 ， 没 有 与 Internet 相 联 的 系统 不 多 ， 因 此 ， 希 望 能 将 一 部 分 高 安全 性 的 网 络 隔离 
封闭 起 来 。 于 是 开始 使 用 Physical Gap。Gap 有 徐 口 、 有 裂口 、 缺 口 和 差异 的 意思 ， 直 译 为 物 
理 隔离 ， 意 为 通过 制造 物理 的 豁口 来 达到 隔离 的 目的 。 

由 于 Physical 这 个 词 显得 非常 僵硬 ， 于 是 有 人 用 Air Gap 来 代替 Physical Gap。Air Gap 
意 为 空气 豁口 ， 很 明显 在 物理 上 是 隔 开 的 。 但 有 人 不 同意 ， 理 由 是 空气 豁口 就 “物理 隔离 ” 
了 吗 ? 电磁 辐射 、 无 线 网 络 、 卫 星 等 都 是 空气 黎 口 ， 却 没有 物理 隔离 ， 甚 至 连 罗 辑 上 都 没 
有 隔离 。 于 是 ，E-Gap、Netgap、I-Gap 等 都 出 来 了 。 现 在 ， 一 般 称 为 Gap Technology， 意 
为 物理 隔离 ， 成 为 Internet 上 的 一 个 专用 名 词 。 


3. 对 物理 隔离 的 要 求 及 其 理解 


物理 隔离 要 求 内 部 网 络 与 外 部 网 络 在 物理 上 没有 相互 连接 的 通道 ， 两 个 系统 在 物理 上 
完全 独立 。 要 实现 公众 信息 网 (外 部 网 ) 与 内 部 网 络 物理 隔离 的 目的 ， 必 须 保 证 做 到 以 下 
几 点 。 

(1) 在 物理 传导 上 使 内 外 网 络 隔断 ， 确 保 外 部 网 不 能 通过 网 络 连接 而 侵入 内 部 网 ， 同 
时 防止 内 部 网 信息 通过 网 络 连接 泄露 到 外 部 网 。 

(2) 在 物理 辐射 上 隔断 内 部 网 与 外 部 网 ， 确 保 内 部 网 信息 不 会 通过 电磁 辐射 或 耦合 方 
式 泄露 到 外 部 网 。 

(3) 在 物理 存储 上 隔断 两 个 网 络 环境 ， 对 于 断 电 后 会 易 失 信息 的 部 件 ， 如 内 存 、 处 理 
器 等 暂 存 部 件 ， 要 在 网 络 转换 时 进行 清除 处 理 ， 防 止 残留 信息 串 网 ， 对 于 断 电 非 易 失 性 设 
备 ， 如 磁带 机 、 硬 盘 等 存储 设备 ， 内 部 网 与 外 部 网 信息 要 分 开 存储 。 

具体 地 说 ， 对 物理 隔离 的 理解 表现 为 以 下 儿 个 方面 。 

@ 阻 断 网 络 的 直接 连接 ， 即 没有 两 个 网 络 同时 连 在 隔离 设备 上 。 

@ 阻 断 网 络 的 Internet 逻辑 连接 ， 即 TCP/IP 的 协议 必须 被 剥离 ， 将 原始 数据 通过 P2P 
的 非 TCP/IP 连接 协议 透 过 隔离 设备 传递 。 

@) 隔离 设备 的 传输 机 制 具 有 不 可 编程 的 特性 ， 因 此 不 具有 感染 的 特性 。 

@ 任何 数据 都 通过 两 级 移动 代理 的 方式 来 完成 ， 两 级 移动 代理 之 间 是 物理 隔离 的 。 

@ 隔离 设备 具有 审查 的 功能 。 

@ 隔离 设备 传输 的 原始 数据 不 具有 攻击 或 对 网 络 安全 有 害 的 特性 。 就 像 txt 文本 不 会 
有 病毒 也 不 会 执行 命令 等 一 样 。 

@ 强大 的 管理 和 控制 功能 。 

4. 数据 隔离 与 网 络 隔离 

从 隔离 的 内 容 看 ， 隔 离 分 为 数据 隔离 和 网 络 隔离 。 

(1) 数据 隔离 主要 是 指 存储 设备 的 隔离 一 一 个 存储 设备 不 能 被 几 个 网 络 共享 。 

(2) 网 络 隔离 就 是 把 被 保护 的 网 络 从 公开 的 、 无 边界 的 、 自 由 的 环境 中 独立 出 来 。 

只 有 实现 了 上 述 两 种 隔离 ， 才 是 真正 意义 上 的 物理 隔离 。 
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5. 逻辑 隔离 部 件 与 物理 隔离 部 件 


物理 隔离 与 逻辑 隔离 有 很 大 的 不 同 。 物 理 隔 离 的 哲学 是 不 安全 就 不 联网 ， 要 绝对 保证 
安全 ; 逻辑 隔离 的 哲学 是 在 保证 网 络 正常 使 用 的 情况 下 尽 可 能 安全 。 在 技术 上 ， 实 现 逻 辑 
隔离 的 方式 有 很 多 ， 但 主要 是 防火 墙 。 

中 华人 民 共 和 国 公安 部 2001 年 12 月 24 日 发 布 (2002 年 5 月 1 日 实施 ) 的 《 端 设备 部 
件 安全 技术 要 求 》(GA 370 一 2001) 指出 : 

(1) 物理 隔离 部 件 的 安全 功能 应 保证 被 隔离 的 计算 机 资源 不 能 被 访问 (至 少 应 包括 硬 
盘 、 软 盘 和 光盘 )， 计 算 机 数据 不 能 被 重用 〈 至 少 应 包括 内 存 )。 

(2) 逻辑 隔离 部 件 的 安全 功能 应 保证 被 隔离 的 计算 机 资源 不 能 被 访问 ， 只 能 进行 隔离 
器 内 外 的 原始 应 用 数据 交换 。 

(3) 单 向 隔离 部 件 的 安全 功能 应 保证 被 隔离 的 计算 机 资源 不 能 被 访问 (至 少 应 包括 硬 
盘 / 人 硬盘 分 区 、 软 盘 和 光盘 )， 计 算 机 数据 不 能 被 重用 至少 应 包括 内 存 )。 

(4) 过 辑 隔离 部 件 应 保证 其 存在 泄露 网 络 资源 的 风险 不 得 多 于 开发 商 的 评估 文档 中 所 
提 及 的 内 容 。 

(5) 逻辑 隔离 部 件 的 安全 功能 应 保证 在 进行 数据 交换 时 数据 的 完整 性 。 

(6) 池 辑 隔离 部 件 的 安全 功能 应 保证 隔离 措施 的 可 控 性 ， 隔 离 的 安全 策略 应 由 用 户 进 
行 控制 ， 开 发 者 必须 提供 可 控 方 法 。 

(7) 单 向 隔离 部 件 使 数据 流 无 法 从 专 网 流向 外 网 ， 数 据 流 能 在 指定 存储 区 域 从 公 网 流 
向 专 网 ， 对 专 网 而 言 ， 还 能 使 用 外 网 的 某 些 指定 的 导入 数据 。 

图 4.15 为 使 用 物理 隔离 部 件 和 单 向 隔离 部 件 进行 连接 的 示意 图 。 
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图 4.15 物理 隔离 部 件 和 单 向 隔离 部 件 的 连接 示意 图 
目前 物理 隔离 技术 主要 包括 网 络 安全 隔离 卡 、 隔 离 集线器 和 网 闻 3 种 。 
4.2.2 网络 安全 隔离 卡 


网 络 安全 隔离 卡 是 一 种 用 户 级 物理 隔离 技术 ， 其 基本 原理 是 在 计算 机 中 使 用 两 个 独立 
的 硬盘 ， 或 将 一 个 硬盘 分 割 成 两 个 独立 的 物理 区 。 

(1) 安全 区 ， 只 与 内 部 网 络 连接 。 

(2) 公共 区 ， 只 与 外 部 网 络 连接 。 

如 图 4.16 所 示 ， 网 络 安全 隔离 卡 就 像 一 个 分 接 开关 ， 在 IDE 硬件 层 上 ， 由 固件 控制 磁 
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盘 通 道 ， 任 何 时 刻 计算 机 只 能 与 一 个 数据 分 区 以 及 相应 的 网 络 连通 。 于 是 计算 机 也 因此 被 
分 为 安全 状态 和 公共 状态 ， 并 且 某 一 时 刻 只 可 以 在 
一 个 状态 下 工作 。 
(1) 在 安全 状态 时 ， 主 机 只 能 使 用 硬盘 的 安全 
区 与 内 网 连接 ， 此 时 外 网 是 断 开 的 ， 硬 盘 的 公共 区 
一 连接 外 网 也 是 封闭 的 。 
图 4.16 网 络 安全 隔离 卡 的 工作 方式 (2) 在 公共 状态 时 ， 主 机 只 能 使 用 硬盘 的 公共 
区 与 外 网 连接 ， 此 时 与 内 网 是 断 开 的 ， 且 硬盘 的 安 






































全 区 是 封闭 的 。 

两 个 状态 各 有 自己 独立 的 操作 系统 ， 并 分 别 导入 ， 保 证 两 个 硬盘 不 会 同时 被 激活 。 两 
个 分 区 不 可 以 直接 交换 数据 ， 但 是 可 以 通过 专门 设置 的 中 间 功 能 区 进行 ， 或 通过 设置 的 安 
全 通道 使 数据 由 公共 区 向 安全 区 转移 (不 可 北向 )。 两 个 状态 转换 时 ， 所 有 的 临时 数据 都 会 
被 彻底 删除 。 

在 安全 区 及 内 网 连接 状态 下 可 以 禁用 软驱 、 光 驱 等 移动 存储 设备 ， 防 止 内 部 数据 泄密 。 
要 转换 到 公共 环境 时 ， 须 进行 如 下 操作 。 

Q@ 按 正 常 方式 退出 操作 系统 。 

@ 关闭 计算 机 。 

@ 将 安全 硬盘 转换 为 公共 硬盘 。 

@ 将 S/P 开关 转换 到 公共 网 络 。 

当然 , 这 些 操作 是 由 网 络 安全 隔离 卡 自动 完成 的 。 为 了 便于 用 户 从 Internet 上 下 载 数据 ， 
特 设 硬盘 数据 交换 区 ， 通 过 读 写 控制 只 允许 数据 从 外 网 分 区 向 内 网 分 区 单 向 流动 。 

图 4.17 为 一 种 客户 端 物理 隔离 系统 的 解决 方案 。 








客户 矶 。 隔 风 不“ 千 PPWL 。 陋 风 攻 。 陋 启 上 客户 机 阿房 卡 客户 了 
图 4.17 “一 种 客户 端 物理 隔离 系统 解决 方案 


4.2.3 ”隔离 集线器 技术 


如 图 4.18 所 示 ， 网 络 安全 集线器 是 一 种 多 路 开关 切换 设备 。 它 与 网 络 安全 隔离 卡 配合 
使 用 ， 并 通过 对 网 络 安全 隔离 卡 上 发 出 的 特殊 信号 的 检测 ， 识 别 出 所 连接 的 计算 机 ， 自 动 
将 其 网 线 切 换 到 相应 的 网 络 的 Hub 上 ， 从 而 实现 多 台独 立 的 安全 计算 机 与 内 、 外 两 个 网 络 
的 安全 连接 与 自动 切换 。 
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图 4.18 网络 安全 隔离 集线器 的 工作 原理 


如 果 没 有 检测 到 来 自 网 络 安全 隔离 卡 的 信号 ， 两 个 网 络 都 会 被 切断 。 这 样 减少 了 安全 
区 的 工作 站 被 错误 地 连 入 未 分 类 网 络 的 风险 。 

注意 : 隔离 集线器 只 有 与 其 他 隔离 措施 ， 如 物理 隔离 卡 等 相配 合 ， 才 能 实现 真正 的 物 
理 隔 离 。 如 果 只 切换 内 外 网 且 变 更 卫 地 址 ， 而 不 重新 启动 系统 ， 则 不 是 真正 的 物理 隔离 。 
图 4.19 为 一 种 采用 隔离 集线器 和 物理 隔离 卡 的 解决 方案 。 




















客户 机 。 隔离 卡 客户 机 隔离 卡 ”隔离 卡 “客户 机 ”隔离 卡 ”客户 机 
图 4.19 一 种 采用 隔离 集线器 和 物理 隔离 卡 的 解决 方案 


在 隔离 集线器 的 基础 上 ， 有 人 提出 了 隔离 交换 机 的 方案 。 
4.2.4 网 闸 
1. 网 闸 的 基本 原理 


计算 机 网 络 是 基于 网 络 协议 实现 连接 的 。 几 乎 所 有 的 攻击 都 是 在 网 络 协议 的 一 层 或 多 
层 上 进行 的 。 理 论 上 讲 ， 如 果断 开 OSI 数据 模型 的 所 有 层 ， 就 可 以 消除 来 自 网 络 的 潜在 攻 
击 。 网 闸 正 是 依照 此 原理 实现 了 信息 安全 传递 。 

网 闸 的 全 称 是 安全 隔离 网 闻 ， 也 称 为 信息 交换 与 安全 隔离 系统 〈 官 方 称呼 )， 其 设计 理 
念 基于 如 下 两 点 。 

(1)“ 摆 渡 ”。 

过 河 可 以 用 船 摆渡 ， 也 可 以 通过 桥 。 差 别 在 于 摆渡 不 连接 两 岸 ， 桥 连接 两 岸 。 网 闸 采 
摆渡 方式 。 如 图 4.20 所 示 ， 用 这 种 方式 进行 网 络 隔离 ， 即 当 设 备 连接 一 端 时 ， 另 一 端 一 
定 是 断 开 的 ， 这 就 断 开 了 物理 层 和 数据 链 路 层 ， 消 除了 物理 层 和 数据 链 路 层 的 漏洞 。 

(2)“ 裸 体检 查 ”。 

传统 网 络 传输 是 经 过 一 层 一 层 地 封装 ， 在 每 一 层 中 按照 协议 进行 转发 。 这 些 转 发 可 以 
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内 网 网 口 外 网 网 口 
内 网 处 理 单元 外 网 处 理 单元 


B 点 

















数据 交换 区 
图 4.20 网络 “摆渡 ”示意 图 


称 为 逻辑 连接 。 摆 渡 消 除了 物理 层 和 数据 链 路 层 的 漏洞 ， 但 无 法 消除 之 上 各 层 的 漏洞 。 要 
想 通 过 氛 渡 网 闸 消除 TCP/IP (OSI 的 3 到 4 层 ) 漏洞 ， 必 须 和 剥离 TCP/IP; 要 想 消除 应 用 协 
议 (OSI 的 5 到 7 层 ) 漏洞 ， 必 须 剥 离 应 用 协议 。 这 是 一 种 “裸体 检查 的 ”思想 ， 好 像 体检 
要 脱光 衣服 一 样 。 在 网 闸 工作 时 ， 经 过 了 一 个 剥离 一 检测 一 重 封装 的 过 程 ， 即 首先 将 数据 
包 进 行 包头 的 剥离 、 分 解 或 重组 ， 然 后 对 静态 的 裸 数 据 进行 安全 审查 (包括 网 络 协议 检查 
和 代码 扫描 等 )， 之 后 用 特殊 的 内 部 协议 封装 后 转发 ， 到 达 对 端 网 络 后 再 重新 按照 TCP/IP 
进行 封装 ， 实 现 了 “协议 落地 ， 内 容 检测 ”。 
图 4.21 是 一 个 采用 网 闸 的 政府 网 络 安全 解决 方案 。 
| 。 外 部 接 入 区 | 政府 外 网 服务 区 | 数据 交换 区 1 内 网 业务 服务 区 | 数据 服务 区 
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图 4.21 一 个 采用 网 闸 的 政府 网 络 安全 解决 方案 
2. 网 闸 的 基本 结构 


如 图 4.22 所 示 ， 网 闸 系统 主要 由 内 网 处 理 模块 、 外 网 处 理 模 块 和 数据 交换 模块 3 个 模 
块 组 成 。 其 中 ， 内 、 外 网 处 理 模块 负责 内 、 外 网 信息 获取 和 协议 分 析 ; 而 安全 检测 与 控制 
处 理 模 块 则 根据 安全 策略 完成 信息 的 安全 检测 、 内 外 网 络 隔离 和 安全 交换 ， 有 的 还 具有 更 
完善 的 功能 ， 如 内 核 防护 、 协 议 转换 、 病 毒 查 杀 、 访 问 控制 、 安 全 审计 、 身 份 认证 等 。 

网 闸 的 主要 性 能 指标 有 系统 数据 交换 速率 〈 一 般 要 求 大 于 120Mbps) 和 硬件 切换 时 间 
(一 般 要 求 小 于 Sms)。 
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图 4.22 ”网 闸 的 基本 结构 
3. 网 闸 的 实现 技术 


下 面 介绍 目前 的 网 闻 三 大 实现 技术 。 

1) 基于 存储 总 线 的 网 闸 技术 

基于 存储 总 线 的 网 闸 技术 是 目前 最 主流 的 网 闸 技 术 。 图 4.23 为 基于 存储 总 线 的 网 闸 工 
作 原 理 示 意图 ， 它 用 可 读 写本 地 存储 介质 作为 交换 区 ， 利 用 电子 开关 控制 内 外 网 的 主机 单 
元 以 摆渡 方式 进行 数据 交换 区 内 存储 空间 的 读 写 。 主 机 单元 通过 扩展 卡 扩展 存储 总 线 ， 并 
把 由 控制 信号 组 成 的 专用 扩展 总 线 连接 到 隔离 交换 控制 主机 上 。 对 交换 区 的 读 写 采取 块 方 
式 ， 不 能 采用 文件 方式 ， 数 据 的 校 验 和 文件 的 还 原 都 在 主机 单元 中 进行 ， 需 要 读 出 写 入 的 
数据 ， 通 过 比较 来 确认 写 入 的 数据 是 否 正确 。 
















控制 模块 


受 保护 网 络 非 信任 网 络 
图 4.23 ”一 种 基于 存储 总 线 的 网 闸 结构 


有 具体 的 存储 技术 可 以 采用 SCSI 方 式 , 也 可 以 采用 IDE 方式 。 从 设计 的 方便 上 还 可 以 选 
择 串 行 的 存储 方式 ， 如 SATA、SAS 或 USB 盘 方式 。 

2) 基于 通信 息 线 的 网 闸 技术 

基于 通信 息 线 的 网 闸 技 术 也 是 目前 成 熟 的 技术 之 一 。 如 图 4.24 所 示 ， 这 种 技术 采用 双 
端口 的 静态 存储 器 (Dual Port SRAM)， 配 合 基于 独立 的 CPLD 的 控制 电路 ， 以 实现 在 两 个 
端口 上 的 开关 ， 双 端口 各 自 通过 开关 连接 到 独立 的 计算 机 主机 上 。 复 杂 可 编程 巡 辑 器 件 
(Complex Programmable Logic Device，CPLD) 或 高 级 精简 指令 集 机 器 (Advanced RISC 
Machines，ARM) 作为 独立 的 控制 电路 ， 确 保 双 端口 静态 存储 器 的 每 一 个 端口 上 存在 一 个 
开关 ， 两 个 开关 不 能 同时 闭合 。 当 交换 的 内 容 是 文件 数据 时 ， 它 确实 给 出 了 一 种 隔离 断 开 
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的 实现 。 当 交换 的 内 容 是 IP 包 时 ,， 则 不 是 。 因 为 双 端口 RAM 可 以 进行 IP 包 的 存储 和 转发 ， 
这 是 一 种 结构 缺陷 。 
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图 4.24 一 种 基于 通信 总 线 的 网 闸 结 构 


采用 这 种 技术 的 产品 ， 应 该 严格 检查 是 否 实现 了 TCP/IP 协议 的 剥离 ， 是 否 实现 了 应 用 
协议 的 剥离 ， 确 保 是 应 用 输出 或 输入 的 文件 数据 被 转发 ， 而 不 是 IP 包 。 除 此 之 外 ， 还 必须 
有 机 制 来 保证 双 端 口 RAM 不 会 被 黑客 用 来 转发 IP 包 。 如 果 设 计 不 当 ，TCP/IP 协议 没有 剥 
离 ，IP 包 会 直接 被 写 入 内 存 存储 介质 ， 并 且 被 转发 。 在 这 种 情况 下 ， 尽 管 物理 层 是 断 开 的 ， 
链 路 层 也 是 断 开 的 ， 由 于 TCP/IP 协议 的 3 层 和 4 层 没有 断 开 ， 也 不 能 算 作 网 络 隔离 。 

3) 基于 单 向 通道 的 网 闸 技术 

由 于 双向 通道 可 能 会 为 攻击 提供 一 种 攻击 通道 ， 近 年 兴起 了 单 向 通道 技术 。 为 了 说 明 
这 个 问题 ， 先 分 析 一 下 下 面 的 常见 攻击 过 程 。 

(1) 攻击 者 伪装 攻击 信息 。 

(2) 伪装 信息 搭载 正常 数据 通过 网 闸 。 

(3) 伪装 的 攻击 信息 将 自己 还 原 ， 收 集 信息 ， 并 采用 与 (2) 同样 的 手段 向 攻击 者 报告 。 

(4) 攻击 根据 已 经 取得 的 权限 进行 下 一 步 动 作 。 

这 样 ， 双 向 的 “摆渡 ”是 无 法 切断 这 样 的 攻击 通道 的 ， 即 使 采用 了 协议 落地 的 手段 也 
无 济 于 事 ， 因 为 某 些 攻击 的 行为 还 可 能 掩藏 于 “ 纯 数据 ”之 中 ， 就 像 罪 犯 将 毒品 藏 到 体内 
一 样 。 

如 图 4.25 所 示 ， 单 向 通道 就 是 把 通信 的 收 、 发 两 个 链 路 完全 分 开 ， 在 一 个 通道 中 不 能 
完成 通信 的 反馈 ， 攻 击 行为 就 成 了 半 开 的 连接 ， 不 能 发 挥 效果 。 发 送 方 只 管 发 送 数据 ， 数 
据 方 只 管 接收 数据 。 
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图 4.25 一 种 基于 单 向 通道 的 网 闸 结 构 
单 向 通道 技术 没有 差错 重 传 机 制 ， 发 送 方 并 不 知道 接收 方 是 否 可 靠 地 接收 到 数据 ， 必 
须 通 过 其 他 机 制 来 提供 可 靠 保障 。 例 如 ， 加 上 简单 的 控制 信号 ， 实 现 数据 的 差错 重 发 等 。 
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4.3 ”Internet 安全 协议 


当初 , TCP/IP 开发 的 目标 主要 有 两 点 : 互 连 和 高 效 , 而 没有 考虑 安全 问题 。 随 着 Internet 
的 广泛 应 用 ， 安 全 问题 逐步 突出 出 来 。 为 了 解决 Internet 上 的 数据 安全 传输 问题 ， 人 们 采用 
了 打 “ 补 丁 ” 的 办 法 : 一 块 补丁 打 在 IP 层 之 上 ， 称 为 PSec (IP Security); 一 块 补丁 打 在 
TCP 层 与 应 用 层 之 间 ， 称 为 安全 套 接 层 (Secure Socket Layer，SSL )。 

它们 采用 了 现代 密码 学 方法 ， 是 在 具体 环境 下 实现 机 密 性 保护 和 认证 性 服务 的 范例 。 


4.3.1 IPSec 


IP 是 TCP/IP 网 络 中 最 关键 的 一 层 ， 其 安全 性 是 整个 TCP/IP 安全 的 基础 。 为 了 弥补 IP 
安全 的 缺陷 ，1994 年 [ETF 〈Intemet 安全 任务 组 ) 成 立 了 一 个 工作 组 来 制定 和 推动 关于 IP 
安全 的 协议 标准 ， 并 于 1995 年 5 月 公布 了 一 套 IETF 草案 ， 形 成 一 个 卫 安全 体系 。 


1. IP 安全 分 析 


IP 层 是 关系 整个 TCP/IP 安全 的 核心 和 基础 。 但 是 ， 由 于 当初 设计 时 的 环境 和 所 考虑 的 
基本 出 发 点 ， 对 IP 没有 过 多 地 考虑 防卫 问题 ， 只 是 设法 使 网 络 能 够 方便 地 互 连 。 这 种 不 设 
防 政策 ， 给 Internet 造成 许多 安全 隐患 和 漏洞 ， 并 随 着 攻击 技术 的 提高 ， 问 题 的 严重 性 日 益 
加 剧 。 下 面 举 几 个 例子 来 说 明 IP 遭受 的 安全 威胁 。 

(1) IPv4 缺乏 对 通信 双方 真实 身份 的 验证 能 力 ， 仅 仅 采 用 基于 源 人 地 址 的 可 认证 机 
制 ， 并 且 由 于 卫 地 址 可 以 进行 软件 配置 ， 这 样 就 给 攻击 者 以 有 机 可 乘 ， 可 以 在 一 台 计 算 机 
上 假冒 另 一 台 计算 机 向 接收 方 发 送 数据 包 ， 而 接收 方 又 无 法 判断 接收 到 的 数据 包 的 真实 性 。 
这 种 IP 欺骗 可 以 在 多 种 场合 制造 灾难 。 

(2) IPv4 缺乏 对 网 络 上 传输 的 数据 包 进行 机 密 性 和 完整 性 保护 的 能 力 ， 一 般 情况 下 IP 
包 是 明文 传输 的 ， 第 三 方 很 容易 窃听 到 IP 数据 包 并 提取 其 中 的 数据 ， 甚 至 算 改 窃取 到 的 数 
据 包 内 容 ， 而 且 不 被 发 党 ， 因 为 只 要 相应 地 修改 校 验 和 即 可 。 

(3) 由 于 数据 包 中 没有 携带 时 间 戳 、 一 次 性 随机 数 等 ， 很 容易 遭受 重 放 攻击 。 攻 击 者 
搜集 特定 IP 包 ， 进 行 一 定 处 理 就 可 以 一 一 重新 发 送 ， 欺 骗 对 方 。 

(4) 路 由 器 布局 是 Internet 的 骨架 。 路 由 器 不 设防 ， 将 会 使 路 由 信息 暴露 ， 为 攻击 者 提 
供 入 侵 途 径 。 

2. IPSec 的 传输 模式 和 隧道 模式 

IPSec 是 一 套 协议 包 ， 它 提供 了 如 图 4.26 所 示 的 两 种 封装 方式 对 卫 数据 包 进行 封装 ， 
形成 了 两 种 工作 模式 : 传输 模式 〈transport mode) 和 隧道 模式 〈tunnel mode)。 

1) 传输 模式 


在 传输 模式 中 ，IPSec 只 保护 IP 数据 包 中 的 有 效 数据 一 一 传输 层 数 据 包 ， 或 者 说 只 
护 上 层 协议 的 数据 包 ， 即 只 对 传输 层 数 据 包 进行 加 密 或 认证 , 原来 的 人 P 头 不 变 。 所 以 IPSec 
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图 4.26 IPSec 两 种 封装 的 基本 格式 


头 添加 在 卫 头 与 卫 数据 之 间 。 这 样 ， 封 装 了 的 数据 包 还 可 以 直接 传送 到 目的 主机 。 这 样 就 
可 以 形成 两 台 主机 之 间 的 安全 通信 。 

传输 模式 的 特点 如 下 。 

(1) 只 保护 数据 ， 不 保护 全 头 ， 即 IP 地 址 是 暴露 的 。 

(2) 用 于 两 个 主机 之 间 。 

2) 隧道 模式 

隧道 模式 保护 整个 IP 包 ， 既 保护 IP 包 的 内 容 ， 也 保护 IP 包 的 头 部 ， 所 以 IPSec 头 添 
加 在 整个 卫 数据 包 之 前 。 但 这 样 ， 所 有 的 路 由 器 都 不 知道 该 数据 包 从 哪里 来 ,到 哪里 去 了 。 
为 此 还 必须 给 新 的 受 保护 的 数据 包 再 加 上 一 个 新 的 IP 头 。 在 新 的 IP 头 中 , 不 再 使 用 原来 的 
源 地 址 和 目的 地 址 ， 只 给 出 源 端 路 由 器 地 址 和 目的 端 路 由 器 地 址 。 也 就 是 说 ， 源 IP 数据 包 
在 源 端 路 由 器 中 被 加 密 、 被 包装 成 新 的 卫 数据 包 发 送 ， 在 目的 路 由 器 中 进行 解 包 、 解 密 ， 
再 从 原来 的 IP 头 取出 真实 目的 地 址 ， 将 数据 传送 给 目的 主机 。 这 样 ， 监 听 者 只 能 监听 到 两 
端 路 由 器 的 地 址 ， 无 法 监听 到 数据 包 真实 的 源 主机 和 目的 主机 的 地 址 。 这 样 就 形成 两 台 路 
由 器 之 间 的 安全 通信 模式 ， 这 种 数据 包 在 传输 的 过 程 中 ， 路 由 器 只 检查 新 的 人 P 头 。 新 的 全 
头 定义 了 从 源 路 由 器 到 目的 路 由 器 之 间 的 一 条 虚拟 路 径 ， 好 像 在 两 个 路 由 器 之 间 形 成 一 个 
可 以 安全 通信 的 隧道 。 

总 之 ， 隧 道 模式 有 如 下 特点 。 

(1) 既 保护 数据 ， 又 保护 卫 头 。 

(2) 用 于 两 个 安全 网 关 之 间 。 

(3) 无 法 控制 来 自 内 部 的 攻击 。 


3. AH 协议 和 ESP 协议 

















IPSec 的 核心 是 两 个 安全 协议 : 认证 头 (Authentication Header，AH) 协议 和 安全 负荷 
封装 (Encapsulating Security Payload，ESP) 协议 ， 它 们 分 别提 供 了 两 种 安全 机 制 : 认证 和 
加 密 。 它 们 都 用 来 封装 IP 数据 包 。 

1) AH 协议 


AH 为 PP 包 提 供 数据 的 完整 性 和 验证 服务 。 
(1) 对 数据 使 用 完整 性 检查 ， 可 以 判定 数据 包 在 传输 过 程 中 是 否 被 修改 。 
(2) 通过 验证 机 制 ， 终 端 系统 或 设备 可 以 对 用 户 或 应 用 进行 验证 ， 并 过 滤 通 信 流 ; 还 
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可 以 防止 地 址 欺骗 和 重 放 攻 击 。 


























AH 具有 如 图 4.27 所 示 的 格式 。 
0 78 15 16 31 
下 一 个 类 “| 载荷 长 度 保留 
安全 参数 索引 (SPD 
序列 号 
| 认证 数据 (可 变 ) | 
图 4.27 AH 格式 


(1) 下 一 个 头 〈8b): 标识 紧 跟 验证 头 的 下 一 个 头 的 类 型 。 
(2) 载荷 长 度 (8b): 为 以 32b 为 单位 的 验证 数据 长 度 加 1。 如 默认 的 验证 数据 字段 长 


度 为 96b， 为 3 个 32b; 加 上 1， 得 4， 即 默认 的 验证 数据 的 AH 头 的 载荷 长 度 为 4。 


(3) 保留 (16b): 备 以 后 使 用 。 

(4) 安全 参数 索引 (32b): 用 于 标识 一 个 安全 协同 (Security Association，SA)。 

(5) 序号 (8b): 无 符号 单调 递增 计数 值 ， 用 于 IP 数据 包 的 重 放 检 查 。 

(6) 认证 数据 (32b 的 整数 倍 可 变 长 数据 ): 含 数据 包 的 ICV (完整 性 校 验 值 ) 或 MAC。 
图 4.28 为 在 传输 模式 和 隧道 模式 下 的 AH 包 格 式 。 








IE At | 履 欠 及 类 数据 传输 模式 的 AH 包 
1 传输 模式 封装 | 
Wg Se: | 
IP 头 | 传输 层 头 数据 原始 IP 包 


| 隧道 模式 封装 | 
新 P 头 | AH 头 | 证 传 输 层 闫 | 数据 | 隧道 模式 的 AH 包 
图 4.28 ”传输 模式 和 隧道 模式 下 的 AH 包 格 式 

















2) ESP 协议 

ESP 协议 为 IP 数据 包 提供 如 下 服务 。 

(1) IP 包 的 机 密 性 保护 。 

(2) 数据 源 验 证 。 

(3) 数据 完整 性 保护 。 

(4) 抗 重 放 保 护 。 

ESP 具有 如 图 4.29 所 示 的 格式 。 

其 中 : 

@ 下 一 个 头 (8b): 通过 标识 载荷 中 的 第 一 个 头 〈 如 IPv6 中 的 扩展 头 ， 或 诸如 TCP 等 


上 层 头 ) 决定 载荷 数据 字段 中 数据 的 类 型 。 


@ 安全 参数 索引 (32b): 标识 一 个 安全 协同 (SA)。 
@ 序号 (8b): 无 符号 单调 递增 计数 值 ， 用 于 IP 数据 包 的 重 放 检查 。 
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0 78 15 16 23 24 31 
安全 参数 索引 (SPD 
序列 号 
初始 化 向 量 


一 载荷 数据 (可 变 ) 二 


填充 (0-255b) 
填充 长 度 Ts 


= 认证 数据 (可 变 ) = 























图 4.29 ESP 格式 


@ 认证 数据 (32b 的 整数 倍 的 可 变 长 数据 ): 用 于 填 入 ICV〔 完 整 性 校 验 值 )。IVC 的 
计算 范围 为 ESP 包 中 除 掉 验 证 数据 字段 部 分 。 

@@ 填充 项 (0 一 25$b): 额外 字 节 。 

@ 填充 长 度 (8b): 填充 的 字 节 数 。 

@ 载荷 数据 (可 变 )， 在 传输 模式 下 为 传输 层 数 据 段 ， 在 隧道 模式 下 为 IP 包 。 

图 4.30 为 在 传输 模式 和 隧道 模式 下 的 ESP 包 格 式 。 











IB [ESP [全 层 关 | “ 数 BSP 尾 ESP 认 证 数据 | 传输 模式 的 ESP 包 
、 、 4 
Se 传输 模式 封装 | 
i Te | 
WP 二] ”六 | 原始 IP 包 
1 
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| 隧道 模式 封装 
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图 4.30 ”传输 模式 和 隧道 模式 下 的 ESP 包 格 式 























4. IKE 


IPSec 的 密 钥 管 理 包 括 密 钥 的 确定 和 分 配 ， 可 以 采用 手工 或 自动 方式 进行 。IPSec 默认 
的 自动 密 钥 管理 协议 是 Internet 密 钥 交换 (Internet Key Exchange，IKE)。IKE 主要 起 两 个 
作用 。 

(1) 安全 关联 (Security Associations，SA) 的 集中 化 管理 ， 以 减少 连接 时 间 。 

(2) 密 钥 的 生成 与 管理 。 

IKE 规定 了 验证 IPSec 对 等 实体 、 协 商 安全 服务 和 生成 会 话 密 钥 的 方法 。IKE 将 密 钥 协 
商 结果 保留 在 SA 中 ， 供 AH 和 ESP 以 后 通信 时 使 用 。 


IKE 有 4 种 身份 认证 方式 。 
(1) 基于 数字 签名 的 认证 : 利用 数字 证 书 表示 身份 ， 利 用 数字 签名 算法 计算 出 一 个 签 
名 来 验证 身份 。 





(2) 基于 公 钥 的 认证 : 用 对 方 的 公 钥 加 密 身份 ， 通 过 检查 对 方 发 来 的 哈 希 值 进行 认证 。 
(3) 基于 修正 的 公 钥 : 对 上 一 个 方式 的 修正 。 
(4) 基于 预 共享 字符 串 : 双方 事先 商定 好 一 个 共享 的 字符 串 。 
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S. IPSec 体系 结构 


IPSec 各 部 件 之 间 的 关系 如 图 4.31 所 示 。 
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图 4.31 IPSec 各 部 件 之 间 的 关系 


对 IPSec 的 体系 结构 有 以 下 几 点 说 明 。 

(1) IPSec 的 加 密 只 用 于 ESP。 目 前 的 IPSec 标准 要 求 任 何 IPSec 实现 都 必须 支持 
3DES 和 AES (高 级 加 密 标准 )。 

(2) IPSec 的 验证 算法 可 用 于 AH 和 ESP， 主 要 采用 HMAC。HMAC 将 消息 和 密 钥 作为 
输入 来 计算 MAC。MAC 保存 在 AH/ESP 头 中 的 验证 数据 字段 中 。 目 的 地 址 收 到 卫 包 后 ， 
使 用 相同 的 验证 算法 和 密 钥 计算 一 个 新 的 MAC， 并 与 数据 包 中 的 MAC 比 对 。 

(3) 解释 域 (Domain of Interpretation，DOI) 用 来 组 合 相 关 协 议 ， 如 定义 负载 的 格式 和 
交换 的 类 型 ， 以 及 对 安全 相关 信息 的 命名 约定 ， 例 如 对 安全 策略 或 者 加 密 算 法 和 模式 的 命 
4.3.2 SSL 


SSL 是 Netscape 公司 提出 的 一 种 建构 在 TCP 之 上 、 为 Web 提供 安全 服务 的 安全 标准 。 
1999 年 ，SSL 被 IETF 接收 后 ， 经 过 改进 以 TLS (Transport Layer Security) 协议 为 名 推出 。 
于 是 ， 形 成 有 专利 保护 的 SSL 和 成 为 标准 的 TLS 两 种 版 本 。 不 过 ，SSL 已 经 成 为 事实 上 的 
标准 。 虽 然 SSL 的 初衷 是 为 Web 提供 安全 服务 ， 但 是 由 于 它 与 应 用 层 协议 无 关 性 的 开发 思 
想 ， 使 其 可 以 基于 传输 层 为 高 层 应 用 协议 提供 透明 的 安全 服务 。 其 中 在 Web 服务 器 和 浏览 
器 之 间 的 安全 通信 和 则 是 它 最 典型 的 应 用 ， 几 乎 所 有 Web 服务 器 和 浏览 器 都 支持 它 ， 并 且 把 
基于 SSL 的 HTTP 协议 称 为 HTTPS 协议 。 

1. SSL 的 工作 过 程 

SSL 的 设计 目标 是 基于 客户 /服务 器 工作 方式 (点 对 点 的 信息 传输 )， 使 高 层 协议 在 进行 
通信 之 前 就 能 完成 加 密 算法 、 密 钥 协 商 和 服务 器 的 认证 ， 并 在 此 基础 上 进行 加 密 的 安全 通 
信 【《 即 对 发 送 的 消息 数据 进行 分 组 、 压 缩 、 加 密 和 生成 认证 码 )， 为 应 用 会 话 提 供 防 窃听 、 
防 算 改 和 防 消息 伪造 服务 。 所 以 它 位 于 应 用 层 和 传输 层 之 间 。 
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实现 上 述 目 标的 基本 过 程 如 下 。 

(1) 安全 协商 : 互相 交换 SSL 版 本 号 和 所 支持 的 加 密 算法 等 信息 。 

(2) 彼此 认证 。 

@ 服务 器 将 自己 由 CA 的 私 钥 加 密 的 证 书 告诉 浏览 器 。 服 务 器 也 可 以 向 浏览 器 发 出 证 
书 请 求 ， 对 浏览 器 进行 认证 。 

@ 浏览 器 检查 服务 器 的 证 书 (是 否 由 自己 列表 中 的 某 个 CA 颁发 ): 不 合法 , 则 终止 连 
接 ; 合法 ， 则 进入 生成 会 话 密 钥 步 又 。 

@ 如 果 服 务 器 有 证 书 请 求 ， 浏 览 器 也 要 发 送 自己 的 证 书 。 

(3) 生成 会 话 密 钥 。 

@ 浏览 器 用 CA 的 公 钥 对 服务 器 的 证 书 解密 ， 获 得 服务 器 的 公 钥 。 

@ 浏览 器 生成 一 个 随机 会 话 密 铀 ， 用 服务 器 的 公 钥 加 密 后 ， 发 送 给 服务 器 。 

(4) 启动 会 话 密 钥 。 

@ 浏览 器 向 服务 器 发 送 消息 ， 告 诉 服务 器 以 后 自己 发 送 的 信息 将 用 协商 好 的 会 话 密 钥 
加 密 。 

@ 浏览 器 再 向 服务 器 发 送 一 个 加 密 消息 ， 告 诉 服 务 器 会 话 协商 过 程 完成 。 

@ 服务 器 向 浏览 器 发 送 消息 ， 告 诉 浏览 器 以 后 自己 发 送 的 信息 将 用 协商 好 的 会 话 密 钥 
加 密 。 

@ 服务 器 再 向 浏览 器 发 送 一 个 加 密 消息 ， 告 诉 浏览 器 会 话 协商 过 程 完成 。 

(5) SSL 会 话 正式 开始 : 双方 用 协商 好 的 会 话 密 钥 加 密 发 送 的 消息 。 

2. SSL 体系 结构 

为 了 实现 上 述 过程 ，SSL 体系 结构 由 两 层 组 成 。 

1) 握手 层 〈 管 理 层 ) 

用 于 密 钥 的 协商 和 管理 ， 由 握手 协议 、 更 改 密码 规范 协议 和 警报 协议 组 成 。 

(1) SSL 握手 协议 (handshake protocol): 准许 服务 器 端 与 客户 端 在 开始 传输 数据 前 可 
以 通过 特定 的 加 密 算法 相互 鉴别 。 

(2) SSL 更 改 密码 规范 协议 (change cipher spec protocol): 保证 可 扩展 性 。 

(3) SSL 警报 协议 (alert protocol): 产生 必要 的 警报 信息 。 

2) 记录 层 

运行 SSL 记录 协议 (record protocol)， 为 高 层 应 用 协议 提供 各 种 安全 服务 ， 对 上 层 数 据 
进行 加 密 、 产 生 MAC 等 并 进行 封装 。 

图 4.32 表明 SSL 在 TCP/P 协议 栈 中 的 位 置 。 它 位 于 传输 层 之 上 、 应 用 层 之 下 ， 并 独 

oy | SSI 握 手 协议 |SSL 更 改 密码 规范 协议 | SSL 警 报 协 议 | HTTP 等 高 层 协议 
过 忆 SSL 记 录 协 议 

TCP 协 议 
了 协议 


图 4.32 SSL 体系 结构 
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立 于 应 用 





3. SSL 握手 


层 ， 使 应 用 层 可 以 直接 建立 在 SSL 上 。 


连接 (connection) 和 会 话 (session) 是 SSL 中 的 两 个 重要 概念 : 一 个 SSL 会 话 是 客户 
机 与 服务 器 之 间 的 一 个 关联 ， 一 个 SSL 连接 提供 一 种 合适 的 服务 类 型 传输 。SSL 连接 是 点 
对 点 的 关系 ， 并 且 连 接 是 暂时 的 ， 每 一 个 连接 只 与 一 个 会 话 关联 。 会 话 定义 了 一 组 可 供 多 
个 连接 共享 的 加 密 安全 参数 ， 以 避免 为 每 一 个 连接 提供 新 的 安全 参数 所 需 的 昂贵 谈判 代价 。 

客户 机 与 服务 器 要 建立 一 个 会 话 ， 就 必须 握手 。SSL 会 话 由 SSL 握手 协议 创建 或 恢复 。 
图 4.33 (a) 为 创建 一 个 会 话 的 握手 过 程 ， 图 4.33 (b) 为 恢复 一 个 会 话 的 握手 过 程 。 
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(a) 创建 一 个 会 话 
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图 4.33 SSL 握手 过 程 


(b) 恢复 一 个 会 话 


注 : * 表示 依 当时 情形 ， 可 选择 性 发 出 。 


下 面 主要 介绍 创建 会 话 时 的 握手 过 程 。 


1) Hello 阶段 


握手 协议 从 客户 机 发 出 的 第 一 道 信息 ClientHello 开始 。 
(1) ClientHello 和 ServerHello， 用 于 协商 安全 参数 ， 包 括 协议 版 本 号 、 会 话 识别 码 
(Csession id)、 时 间 戳 、 密 码 算法 协商 (cipher suit)、 压 缩 算法 、 两 个 28B 的 随机 数 
(ClientHello.random 和 ServerHello.random )。 
(2) Certificate， 密 钥 交 换 信息 ， 在 要 验证 服务 器 时 发 出 。 
(3) ServerKeyExchange， 送 出 供 客户 机 计算 出 共享 密 钥 的 参数 ,包含 服 务 器 临时 公 钥 。 
这 些 信息 一 般 包 含 在 Certificate 中 。 只 在 下 列 情况 下 才 由 服务 器 发 出 。 





A 


@ 不 需要 验证 服务 器 。 

@ 要 求 验证 服务 器 ， 但 服务 器 无 证 书 或 服务 器 证 书 是 用 于 签名 。 
(4) CertificateRequest 是 在 服务 器 要 求 验证 客户 机 时 发 出 。 

(5) ServerHelloDone 表示 双方 握手 过 程 的 Hello 阶段 结束 。 

这 时 ， 服 务 器 等 待 客户 机 回音 。 

2) 加 解密 参数 传输 


(1) Certificate， 回 答 服务 器 的 CertificateRequest 要 求 的 信息 。 服 务 器 无 要 求 时 ， 不 发 。 

(2) ClientKeyExchange， 对 ClientHello 和 ServerHello 密 钥 交换 算法 的 回复 ， 以 
ServerKeyExchange 所 选 的 算法 进行 ， 让 双方 可 以 共享 密 钥 。 

(3) CertificateVerify， 对 此 前 服务 器 送 来 的 所 有 信息 (ClientHello/ServerHello、Certificate 
和 ServerKeyExchange) 产生 的 签名 ， 让 服务 器 进一步 确定 客户 机 的 正确 性 。 

(4) ExchangeCipherSpec，SSL 更 改 密码 规范 协议 消息 。 

(5) Finished， 用 协商 好 的 算法 和 密 钥 加 密 的 握手 完成 消息 。 

3) 服务 器 确认 

(1) ExchangeCipherSpec， 回 复 客户 机 的 ExchangeCipherSpec 消息 。 

(2) Finished， 用 协商 好 的 算法 和 密 钥 加 密 的 握手 完成 消息 。 

4) 开始 传输 应 用 数据 

恢复 一 个 已 经 存在 的 会 话 时 ， 握 手 过 程 一 般 只 需要 Hello 阶段 。 

4. SSL 记录 协议 的 封装 


在 SSL 体系 中 ， 当 上 层 《〈 应 用 层 或 表示 层 ) 的 应 用 要 选用 SSL 协议 时 ， 上 层 〈 握 手 、 
警报 、 更 改 密码 规范 、HTTP 等 ) 协议 信息 会 通过 SSL 记录 子 协 议 使 用 一 些 必要 的 程序 将 
加 密码 、 压 缩 码 和 MAC 等 封装 成 若干 数据 包 ， 再 通过 其 下 层 (基本 上 都 是 从 呼 socket 
接口 层 ) 传送 出 去 。 

记录 协议 的 封装 过 程 如 图 4.34 所 示 。 

应 用 层 数据 la b cdefghijk1lmn.… 
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图 4.34 ”记录 协议 的 封装 过 程 
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4.3.3 VPN 
1. VPN 的 基本 原理 


虚拟 专用 网 (Virtual Private Network，VPN ) 是 指 将 物理 上 分 布 在 不 同 地 点 的 专用 网 络 
通过 不 可 信任 的 公共 网 络 构 造成 逻辑 上 信任 的 虚拟 子 网 ， 进 行 安全 的 通信 。 这 里 公共 网 络 
主要 指 Intemet。 

图 4.35 为 VPN 的 结构 示意 图 。 图 中 有 3 个 专 网 ， 它 们 都 位 于 VPN 设备 的 后 面 ， 同 时 
由 路 由 器 连接 到 公共 网 。VPN 技术 采用 了 安全 封装 、 加 密 、 认 证 、 存 取 控 制 、 数 据 完整 性 
保护 等 措施 ， 使 得 敏感 信息 只 有 预定 的 接收 者 才能 读 懂 ， 实 现 信息 的 安全 传输 ， 使 信息 不 被 
泄露 、 算 改 和 复制 ， 相 当 于 在 各 VPN 设备 间 形 成 一 些 跨越 nternet 的 虚拟 通道 一 一 “隧道 ”。 





























图 4.35 ”VPN 的 结构 与 基本 原理 


隧道 的 建立 主要 有 两 种 方式 : 客户 启动 (client-initiated ) 和 客户 透明 (client-transparent ) 。 
客户 启动 也 称 为 自愿 型 隧道 ， 要 求 客 户 和 服务 器 〈 或 网 关 ) 都 安装 特殊 的 隧道 软件 ， 以 便 
在 Internet 中 可 以 任意 使 用 隧道 技术 , 完全 由 自己 控制 数据 的 安全 。 客户 透明 也 称 为 强制 型 隧 
道 ， 只 需要 服务 器 端 安装 特殊 的 隧道 软件 ， 客 户 软件 只 用 来 初始 化 隧道 ， 并 使 用 用 户 ID、 口 
令 或 数字 证 书 进 行 权限 鉴别 , 使 用 起 来 比较 方便 , 主要 供 ISP 将 用 户 连 接 到 Internet 时 使 用 。 

VPN 的 基本 处 理 过 程 如 下 。 

(1) 要 保护 的 主机 发 送 明 文 信息 到 其 VPN 设备 。 

(2) VPN 设备 根据 网 络 管理 员 设 置 的 规则 ， 确 定 是 对 数据 进行 加 密 还 是 直接 传送 。 

(3) 对 需要 加 密 的 数据 ，VPN 设备 将 其 整个 数据 包 (包括 要 传送 的 数据 、 源 IP 地 址 和 
目的 耳 地 址 ) 进行 加 密 并 附 上 数字 签名 ， 加 上 新 的 数据 报头 (包括 目的 VPN 设备 需要 的 安 
全 信息 和 一 些 初始 化 参数 )， 重 新 封装 。 

(4) 将 封装 后 的 数据 包 通 过 隧道 在 公共 网 上 传送 。 

(5) 数据 包 到 达 目 的 VPN 设备 , 将 数据 包 解 封 ， 核对 数字 签名 无 误 后 ， 对 数据 包 解密 。 


2. 隧道 结构 


隧道 技术 是 VPN 技术 的 核心 ， 它 涉及 数据 的 封装 ， 可 以 利用 TCP/IP 协议 作为 主要 传 
送 协议 ， 以 一 种 安全 的 方式 在 公用 网 络 (如 Internet) 上 传送 。 


“227* 


在 VPN 中 ， 双 方 的 通信 量 很 大 ， 并 且 往 往 很 熟悉 ， 这 样 就 可 以 使 用 复杂 的 专用 加 密 和 
认证 技术 对 通信 双方 的 VPN 进行 加 密 和 认证 。 为 了 实现 这 些 功 能 ， 隧 道 被 构造 为 一 种 3 层 
结构 。 

(1) 最 底层 是 传输 。 传输 协议 用 来 传输 上 层 的 封装 协议 ，IP、ATM、PVC 和 SVC 都 是 
非常 合适 的 传输 技术 。 其 中 因为 IP 具有 强大 的 路 由 选择 能 力 ， 可 以 运行 于 不 同 的 介质 上 ， 
因而 应 用 最 为 广泛 。 

(2) 第 二 层 是 封装 。 封 装 协议 用 来 建立 、 保 持 和 拆卸 隧道 ， 或 者 说 是 数据 的 封装 、 打 
包 与 拆 包 。 

(3) 第 三 层 是 认证 。 

3.VPN 实现 技术 


目前 ， 实 现 VPN 的 主要 技术 有 两 种 : 一 种 是 基于 IPSec 协议 的 VPN 模式 ; 另 一 种 是 基 
于 SSL 协议 的 VPN 模式 。 关 于 它们 的 具体 实现 方法 ， 这 里 不 再 袭 述 。 


4. VPN 的 服务 类 型 


从 应 用 的 角度 看 ，VPN 的 服务 大 致 有 如 下 3 种 类 型 。 

(1) 远程 访问 VPN (access VPN): 适合 在 外 地 有 流动 办 公 的 情况 。 这 时 的 驻 外 工作 人 
员 只 能 通过 宾馆 或 其 他 的 设施 以 拨号 方式 与 本 部 进行 VPN 连接 ， 利 用 HTTP、FTP 等 或 其 
他 网 络 服务 与 本 部 交换 信息 。 

(2) 内 联 VPN (intranet VPN): 适合 在 外 地 有 固定 分 支 机 构 的 情形 。 这 时 ， 驻 外 分 支 
机 构 通 过 ISP 与 本 部 进行 VPN 安全 连接 。 

(3) 外 联 VPN (extranet VPN): 适合 与 业务 伙伴 之 间 通 信 的 连接 。 这 时 ， 往 往 需 要 通 
过 专线 连接 公共 基础 设施 ， 并 借助 电子 商务 软件 等 与 本 部 进行 VPN 连接 。 
实验 10 ”实现 一 个 VPN 连接 

1. 实验 目的 


(1) 理解 VPN 的 工作 原理 。 
(2) 了 解 VPN 的 应 用 。 
(3) 掌握 VPN 实现 的 技术 方法 。 


2. 实验 内 容 


(1) 实现 一 个 VPN 连接 。 
(2) 测试 连接 后 的 VPN 网 络 。 


3. 建议 环境 


(1) 在 Windows 操作 系统 中 利用 PPTP 配置 VPN 网 络 ， 即 在 Windows 2000 Server 中 
选择 “开始 ”一 “程序 ”一 “管理 工具 ” 单 击 “ 路 由 和 远程 访问 ” 
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(2) 在 Windows 中 配置 IPSec， 即 选择 “开始 ”一 “程序 ”一 “管理 工具 ”， 进 入 “本 
地 安全 策略 ”界面 。 在 右 侧 窗口 中 ， 可 以 看 到 默认 情况 下 Windows 内 置 的 “安全 服务 器 ” 
“客户 端 ” 和 “服务 器 ”3 个 安全 选项 ， 并 附 有 描述 。 

(3) 在 Linux 操作 系统 中 利用 CIPE 配置 VPN。CIPE (Crypto IP Encapsulation) 是 主要 
为 Linux 而 开发 的 VPN 实现 软件 。CIPE 使 用 默认 的 CIPE 加 密 机 制 (标准 的 Blowfish 或 
IDEA 加 密 算法 ) 来 加 密 IP 分 组 ， 并 为 这 些 分 组 添加 目标 头 信息 后 ， 封 装 或 “包围 ”在 数 
据 报 (UDP) 中 。 然 后 ， 这 些 UDP 分 组 再 通过 CIPE 虚拟 网 络 设 备 〈cipcbX) 和 IP 层 。 

4. 实验 准备 

(1) 对 要 使 用 的 VPN 连接 进行 需求 分 析 。 

(2) 根据 需求 分 析 提 出 使 用 的 VPN 连接 方案 。 

(3) 设计 实现 确定 的 VPN 方案 所 需要 的 软 硬 件 环 境 。 

(4) 设计 进行 VPN 连接 的 步骤 。 

(5) 设计 进行 VPN 连接 测试 的 方法 和 步骤 。 

5. 推荐 的 分 析 讨 论 内 容 


(1) 搜集 各 种 VPN 实现 技术 ， 并 进行 比较 。 

(2) 对 自己 实现 的 VPN 进行 安全 风险 分 析 ， 提 出 改进 设想 。 

(3) 有 的 计算 机 网 络 具 有 单 入 口 点 ， 即 出 入 网 络 的 所 有 数据 都 只 通过 单个 网 关 《〈 路 由 
器 /防火 墙 ), 而 有 的 网 络 中 使 用 了 多 个 网 关 。 在 这 两 种 情况 下 , 进行 VPN 配置 有 什么 区 别 ? 

(4) 其 他 发 现 或 想到 的 问题 。 


4.4 人 侵 检 测 系统 


4.4.1 ”入侵 检测 及 其 模型 
1. 入 侵 检测 与 入 侵 检测 系统 


入 侵 检测 系统 (Intrusion Detection System，IDS) 是 对 计算 机 和 网 络 系统 资源 上 的 恶意 
行为 进行 识别 和 响应 的 处 理 系统 ， 它 像 雷 达 警 戒 一 样 ， 在 不 影响 网 络 性 能 的 前 提 下 ， 对 网 
络 进行 警戒 、 监 控 ， 从 计算 机 网 络 的 若干 关键 点 收集 信息 ， 通 过 分 析 这 些 信 息 ， 看 看 网 络 
中 是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹象 ， 从 而 扩展 了 系统 管理 员 的 安全 管理 能 力 ， 
提高 了 信息 安全 基础 结构 的 完整 性 。 

IDS 最 早 于 1980 年 4 月 由 James P. Anderson 在 为 美国 空军 起 草 的 技术 报告 Computer 
Security Threat Monitoring and Surveillance(《 计 算 机 安全 威胁 监控 与 监视 》)) 中 提出 。 报 告 
中 提出 了 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ， 将 威胁 分 为 外 部 渗透 、 内 部 渗透 和 不 
法 行为 ， 提 出 了 利用 审计 跟踪 数据 监视 入 侵 活动 的 思想 。 这 份 报告 被 认为 是 入 侵 检 测 的 开 
山 之 作 。 

这 里 ,“ 入 侵 ”(intrusion) 是 一 个 广义 的 概念 ， 不 仅 包 括 发 起 攻击 的 人 (包括 黑客 ) 取 
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得 超出 合法 权限 的 行为 ， 也 包括 收集 漏洞 信息 ， 造 成 拒绝 访问 (DoS) 等 对 系统 造成 危害 的 
行为 。 而 入 侵 检测 〈intrusion detection) 就 是 对 入 侵 行为 的 发 觉 。 它 通过 对 计算 机 网 络 等 信 
息 系 统 中 若干 关键 点 的 有 关 信息 的 收集 和 分 析 ， 从 中 发 现 系统 中 是 否 存在 违反 安全 规则 的 
行为 和 被 攻击 的 迹象 。 入 侵 检测 系统 就 是 进行 入 侵 检测 的 软件 和 硬件 的 组 合 。 

入 侵 检测 作为 一 种 积极 主动 的 安全 防护 技术 ， 提 供 了 对 内 部 攻击 、 外 部 攻击 和 误 操 作 
的 实时 保护 ， 被 认为 是 防火 墙 后 面 的 第 二 道 安全 防线 。 


2. 入 侵 检测 系统 的 功能 


具体 说 来 ， 入 侵 检测 系统 的 主要 功能 如 下 。 
(1) 监视 并 分 析 用 户 和 系统 的 行为 。 

(2) 审计 系统 配置 和 漏洞 。 

(3) 评估 敏感 系统 和 数据 的 完整 性 。 

(4) 识别 攻击 行为 ， 对 异常 行为 进行 统计 。 
(5)》 自动 收集 与 系统 相关 的 补丁 。 

《6) 审计 、 识 别 并 跟踪 违反 安全 法 规 的 行为 。 
(7) 使 用 诱骗 服务 器 记录 黑客 行为。 


3. 实时 入 侵 检测 和 事后 入 侵 检测 


实时 入 侵 检测 在 网 络 的 连接 过 程 中 进行 ， 通过 攻击 识别 模块 对 用 户 当 前 的 操作 进行 分 
析 ， 一 旦 发 现 攻 击 迹象 就 转 入 攻击 处 理 模块 ， 如 立即 断 开 攻 击 者 与 主机 的 连接 、 收 集 证 据 
或 实施 数据 恢复 等 。 如 图 4.36 所 示 ， 这 个 检测 过 程 是 反复 循环 进行 的 。 

当前 操作 




















攻击 识别 模块 | 一 | “入侵 检 测 监测 


是 否 攻 击 ? N 


了 
攻击 处 理 模块 


图 4.36 实时 入 侵 检测 过 程 
事后 入 侵 检测 是 根据 计算 机 系统 对 用 户 操作 所 做 的 历史 审计 记录 ， 判 断 是 否 发 生 了 攻 
击 行 为 ， 如 果 有 ， 则 转 入 攻击 处 理 模 块 处 理 。 事 后 入 侵 检测 通常 由 网 络 管理 人 员 定 期 或 不 
定期 地 进行 。 图 4.37 为 事后 入 侵 检测 的 过 程 。 


4. 入 侵 检 测 系统 的 基本 结构 


入 侵 检测 是 防火 墙 的 合理 补充 ， 帮 助 系统 对 付 来 自 外 部 或 内 部 的 攻击 ， 扩 展 了 系统 管 
理 员 的 安全 管理 能 力 〈 如 安全 审计 、 监 视 、 攻 击 识别 及 其 响应 )， 提 高 了 信息 安全 基础 结构 
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图 4.37 事后 入 侵 检测 的 过 程 
的 完整 性 。 如 图 4.38 所 示 ， 入 侵 检测 系统 的 主要 工作 就 是 从 信息 系统 的 若干 关键 点 上 收集 


信息 ,然后 分 析 这 些 信息 , 用 来 得 到 网 络 中 有 无 违反 安 
全 策略 的 行为 和 唱 到 袭击 的 迹象 。 数据 Ee lt -| 
入 侵 检测 系统 的 这 个 模型 比较 粗略 。 但 是 它 表 明 数 人行 | 盆 


据 收集 ,数据 分 析 和 处 理 响应 是 一 个 入 侵 检测 系统 的 最 。 图 438 入 侵 检测 系统 的 通用 模型 
基本 部 件 。 


4.4.2 ”信息 收集 与 数据 分 析 


入 侵 检测 的 第 一 步 是 在 信息 系统 的 一 些 关键 点 上 收集 信息 。 这 些 信息 就 是 入 侵 检测 系 
统 的 输入 数据 。 

1. 数据 收集 的 内 容 

入 侵 检测 系统 收集 的 数据 一 般 有 如 下 4 个 方面 。 

1) 主机 和 网 络 日 志文 件 

主机 和 网 络 日 志文 件 中 记录 了 各 种 行为 类 型 ， 每 种 行为 类 型 又 包含 不 同 的 信息 。 例 如 
记录 “用 户 活 动 ” 类 型 的 日 志 ， 就 包含 登录 、 用 户 ID 改变 、 用 户 对 文件 的 访问 、 授 权 和 认 
证 信息 等 内 容 。 这 些 信息 包含 了 发 生 在 主机 和 网 络 上 的 不 寻常 和 不 期 望 活动 的 证 据 ， 留 下 
黑客 的 踪迹 。 通 过 查看 日 志文 件 ， 能 够 发 现成 功 的 入 侵 或 入 侵 企图 ， 并 很 快 地 启动 响应 的 
应 急 响 应 程序 。 因 此 ， 充 分 利用 主机 和 网 络 日 志文 件 信息 是 检测 入 侵 的 必要 条 件 。 

2) 目录 和 文件 中 的 不 期 望 的 改变 

网 络 环 境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 。 包 含 重 要 信息 的 文件 和 私密 数据 文 
件 经 常 是 黑客 修改 或 破坏 的 目标 。 黑 客 经 常 替换 、 修 改 和 破坏 他 们 获得 访问 权 的 系统 上 的 
文件 ， 同 时 为 了 隐蔽 他 们 在 系统 中 的 活动 痕迹 ， 还 会 尽力 替换 系统 程序 或 修改 系统 日 志文 
件 。 因 此 ， 目 录 和 文件 中 的 不 期 望 的 改变 〈 包 括 修改 、 创 建 和 删除 )， 特 别 是 那些 正常 情况 
下 限制 访问 的 对 象 ， 往 往 就 是 入 侵 发 生 的 指示 和 信和 号。 

3) 程序 执行 中 的 不 期 望 行为 

每 个 在 系统 上 执行 的 程序 由 一 到 多 个 进程 来 实现 。 每 个 进程 都 运行 在 特定 权限 的 环境 
中 ， 进 程 的 行为 由 它 运 行 时 执行 的 操作 来 表现 ， 这 种 环境 控制 着 进程 可 访问 的 系统 资源 、 
程序 和 数据 文件 等 ;操作 执行 的 方式 不 同 ， 利 用 的 系统 资源 也 就 不 同 。 
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操作 包括 计算 、 文 件 传输 、 设 备 与 网 络 间 其 他 进程 的 通信 。 黑 客 可 能 会 将 程序 或 服务 
的 运行 分 解 ， 从 而 导致 它 的 失败 ， 或 者 是 以 非 用 户 或 管理 员 意 图 的 方式 操作 。 因 此 ， 一 个 
进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 入 侵 本 系统 。 

4) 物理 形式 的 入 侵 信息 

黑客 总 是 想方设法 〈 如 通过 网 络 上 由 用 户 私自 加 上 去 的 不 安全 《〈 即 未 授权 的 ) 设备 ) 
去 突破 网 络 的 周边 防卫 ， 以 便 能 够 在 物理 上 访问 内 部 网 ， 在 内 部 网 上 安装 他 们 自己 的 设备 
和 软件 。 例 如 ， 用 户 在 家 里 可 能 安装 调制 解 调 器 以 访问 远程 办 公 室 ， 那 么 这 一 拨号 访问 就 
成 了 威胁 网 络 安全 的 后 门 。 黑 客 就 会 利用 这 个 后 门 来 访问 内 部 网 ， 从 而 越过 了 内 部 网 络 原 
有 的 防护 措施 ， 然 后 捕获 网 络 流量 ， 进 而 攻击 其 他 系统 ， 并 偷 取 敏 感 的 私有 信息 等 。 


2. 入 侵 检 测 系统 的 数据 收集 机 制 


准确 性 、 可 靠 性 和 效率 是 入 侵 检测 系统 数据 收集 机 制 的 基本 指标 ,在 IDS 中 占据 着 举 
足 轻 重 的 位 置 。 如 果 收 集 的 数据 时 延 较 大 ， 检 测 就 会 失去 作用 ;如 果 数 据 不 完整 ， 系 统 的 
检测 能 力 就 会 下 降 ; 如 果 由 于 错误 或 入 侵 者 的 行为 致使 收集 的 数据 不 正确 , IDS 就 会 无 法 检 
测 到 某 些 入 侵 ， 给 用 户 以 安全 的 假象 。 

1) 基于 主机 的 数据 收集 和 基于 网 络 的 数据 收集 

基于 主机 的 IDS 是 在 每 台 要 保护 的 主机 后 台 运 行 一 个 代理 程序 ， 检 测 主机 运行 日 志 
记录 的 未 经 授权 的 可 疑 行径 ， 检 测 正在 运行 的 进程 是 否 合法 并 及 时 做 出 响应 。 

基于 网 络 的 入 侵 检测 系统 是 在 连接 过 程 中 监视 特定 网 段 的 数据 流 ， 碍 找 每 一 数据 包 内 
隐藏 的 恶意 入 侵 ， 对 发 现 的 入 侵 做 出 及 时 的 响应 。 在 这 种 系统 中 ， 使 用 网 络 引擎 执行 监控 
任务 。 图 4.39 中 给 出 了 网 络 引擎 所 处 的 几 个 可 能 位 置 。 
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图 4.39 基于 网 络 的 IDS 中 网 络 引擎 的 配置 


网 络 引擎 所 处 位 置 不 同 ， 所 起 的 作用 不 同 。 

(1) 网 络 引擎 配置 在 防火 墙 内 ， 可 以 监测 渗透 过 防火 墙 的 攻击 。 

(2) 网 络 引擎 配置 在 防火 墙 外 的 非 军事 区 ， 可 以 监测 对 防火 墙 的 攻击 。 

(3) 网 络 引擎 配置 在 内 部 网 络 的 各 临界 网 段 ， 可 以 监测 内 部 的 攻击 。 

控制 台 用 于 监控 全 网 络 的 网 络 引擎 。 为 了 防止 假扮 控制 台 入 侵 或 拦截 数据 ， 在 控制 台 
与 网 络 引擎 之 问 应 创建 安全 通道 。 
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基于 网 络 的 入 侵 检 测 系统 主要 用 于 实时 监控 网 络 关键 路 径 。 它 的 隐蔽 性 好 、 视 野 宽 、 
侦 测速 度 快 、 占 用 资源 少 、 实 施 简便 ， 并 且 还 可 以 用 单独 的 计算 机 实现 ， 不 增加 主机 负担 。 
但 难于 发 现 所 有 数据 包 ， 对 于 加 密 环境 无 能 为 力 ， 用 在 交换 式 以 太 网 上 比较 困难 。 

基于 主机 的 IDS 提供 了 基于 网 络 的 IDS 不 能 提供 的 一 些 功能 ， 如 二 进 制 完整 性 检查 、 
记录 分 析 和 非法 进程 关闭 等 。 同 时 由 于 不 受 交 换 机 隔离 的 影响 ， 在 交换 网 络 中 非常 有 用 。 
但 是 它 对 网 络 流量 不 敏感 ， 并 且 由 于 运行 在 后 台 ， 不 能 访问 被 保护 系统 的 核心 功能 〈 不 能 
将 攻击 阻挡 在 协议 层 之 外 )。 它 的 内 在 结构 没有 任何 束缚 , 并 可 以 利用 操作 系统 提供 的 功能 ， 
结合 异常 分 析 ， 较 准确 地 报告 攻击 行为 ， 而 不 是 根据 网 上 收集 到 的 数据 包 去 猜测 发 生 的 事 
件 。 但 是 它们 往往 要 求 为 不 同 的 平台 开发 不 同 的 程序 ， 从 而 增加 了 主机 的 负担 。 

总 的 看 来 ， 单 纯 地 使 用 基于 主机 的 入 侵 检 测 或 基于 网 络 的 入 侵 检 测 ， 都 会 造成 主动 防 
御 体 系 的 不 全 面 。 但 是 ， 由 于 它们 具有 互补 性 ， 所 以 将 两 种 产品 结合 起 来 ， 无 颖 地 部 署 在 
网 络 内 ， 就 会 构成 综合 了 两 者 优势 的 主动 防御 体系 ， 既 可 以 发 现 网 段 中 的 攻击 信息 ， 又 可 
以 从 系统 日 志 中 发 现 异常 情况 。 这 种 系统 一 般 为 分 布 式 ， 由 多 个 部 件 组 成 。 

2) 分 布 式 与 集中 式 数据 收集 机 制 

分 布 式 IDS 收集 的 数据 来 自 一 些 固 定位 置 ， 而 与 受 监视 的 网 元 数量 无 关 。 集 中 式 IDS 
收集 的 数据 来 自 一 些 与 受 监 视 的 网 元 数量 有 一 定 比 例 关 系 的 位 置 。 

3) 直接 监控 和 间接 监控 

IDS 从 它 所 监控 的 对 象 处 直接 获得 数据 ， 称 为 直接 监控 ， 反之， 如 果 IDS 依赖 一 个 单 
独 的 进程 或 工具 获得 数据 ， 则 称 为 间接 监控 。 

就 检测 入 侵 行 为 而 言 ， 直 接 监控 要 优 于 间接 监控 ， 这 是 因为 : 

(1) 从 非 直接 数据 源 获取 的 数据 在 被 IDS 使 用 之 前 ， 入 侵 者 还 有 进行 修改 的 潜在 机 会 。 

(2) 非 直接 数据 源 可 能 无 法 记录 某 些 事件 ， 例 如 ， 它 无 法 访问 监视 对 象 的 内 部 信息 。 

(3) 在 间接 监控 中 ， 数 据 一 般 都 是 通过 某 种 机 制 〈 如 编写 审计 代码 ) 生成 的 ， 但 这 些 
机 制 并 不 满足 IDS 的 具体 要 求 ， 因 而 从 间接 数据 源 获得 的 数据 量 要 比 从 直接 数据 源 所 获得 
的 大 得 多 。 并 且 间 接 监 控 机 制 的 可 伸缩 性 小 ， 一 旦 主机 及 其 内 部 被 监控 要 素 增加 ， 过 滤 数 
据 的 开销 就 会 降低 监控 主机 的 性 能 。 

(4) 间接 数据 源 的 数据 从 产生 到 IDS 访问 之 间 有 一 个 时 延 。 

但 是 由 于 直接 监控 操作 的 复杂 性 , 目前 的 IDS 产品 中 只 有 不 足 20% 使 用 了 直接 监控 机 人 制 。 

4) 外 部 探测 器 和 内 部 探测 器 

外 部 探测 器 的 监控 组 件 〈 程 序 ) 独立 于 被 监测 组 件 〈 硬 件 或 软件 )。 内 部 探测 器 的 监控 
组 件 〈 程 序 ) 附加 于 被 监测 组 件 〈 硬 件 或 软件 )。 表 4.10 给 出 了 它们 的 优 缺点 比较 。 


3. 数据 分 析 


数据 分 析 是 IDS 的 核心 ， 其 功能 就 是 对 从 数据 源 提供 的 系统 运行 状态 和 活动 记录 进行 
同步 、 整 理 、 组 织 、 分 类 以 及 各 种 类 型 的 细致 分 析 ， 提 取 其 中 包含 的 系统 活动 特征 或 模式 ， 
日 于 对 正常 和 异常 行为 的 判断 。 
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表 4.10 ”外 部 探测 器 和 内 部 探测 器 的 优 缺 点 


比较 内 容 外 部 探测 器 内 部 探测 器 


。 要 嵌入 被 监控 程序 中 ， 修 改 被 监控 程序 时 容 











。 代理 消耗 了 过 量 资源 
错误 引入 和 安全 性 | 。 库 调用 错误 地 修改 了 某 些 参数 
省 站 和 全 者 他 帮 的 和 在 te 
. 日 
。 不 是 分 离 进程 ， 不 易 被 禁止 或 修改 
好 
可 实现 性 、 可 使 用 | 。 探测 器 程序 与 被 监控 程序 分 离 。 需要 集成 到 被 监控 程序 中 ， 难 度 较 大 
性 和 可 维护 性 。 从 主机 上 进行 修改 、 添 加 或 删除 等 较 容易 。 需要 使 用 与 被 监控 程序 相同 的 编程 语言 
。 可 以 利用 任何 合适 的 编程 语言 。 设计 要 求 高 ， 修 改 和 升级 难度 大 
大 
开销 。 数据 的 产生 和 使 用 之 间 的 时 延 小 
数据 生成 和 使 用 之 间 存在 时 延 
。 不 是 分 离 进程 ， 避 免 了 创建 进程 的 主机 开销 
差 
完备 性 。 只 能 从 “外 面 ”监控 程序 。 可 以 放置 在 被 监控 程序 的 任何 地 方 
。 只 能 访问 外 部 可 以 获得 的 数据 ， 获 取 能 力 有 限 | 。 可 以 访问 被 监控 程序 中 的 任何 信息 
正确 性 只 能 根据 可 获得 的 数据 作出 基于 经 验 的 猜测 较 好 

















入 侵 检 测 系统 的 数据 分 析 技 术 依 检测 目标 和 数据 属性 ， 分 为 异常 发 现 技 术 和 模式 发 现 
不 是 已 知 的 入 侵 行为 ， 而 是 所 监视 通信 系统 中 的 
因此 正确 地 选择 异常 阔 值 和 特征 ， 决 定 何 种 程度 
可 能 出 现 虚报 现象 。 
2) 模式 发 现 技术 


技术 两 大 类 。 最 近 几 年 还 出 现 了 一些 通用 的 技术 。 下 面 分 别 进行 介绍 。 
1) 异常 发 现 技术 
异常 发 现 技术 用 在 基于 异常 检测 的 IDS 中 。 如 图 4.40 所 示 ， 在 这 类 系统 中 ， 观 测 到 的 
异常 现象 。 如 果 建立 了 系统 的 正常 行为 轨迹 ， 则 
在 理论 上 就 可 以 把 所 有 与 正常 轨迹 不 同 的 系统 状 
态 视 为 可 疑 企 图 。 由 于 正常 情况 具有 一 定 的 范围 
图 4.40 异常 检测 模型 才 是 异常 ， 是 异常 发 现 技术 的 关键 。 

异常 检测 只 能 检测 出 那些 与 正常 过 程 具有 较 
大 偏差 的 行为 。 由 于 对 各 种 网 络 环境 的 适应 性 较 弱 ， 且 缺乏 精确 的 判定 准则 ， 异 常 检测 有 
异常 发 现 技术 如 表 4.11 所 示 。 其 中 ， 自 学 习 系统 通过 学 习 事 例 构 建 正常 行为 模型 ， 又 
可 分 为 时 序 和 非 时 序 两 种 ， 可 编程 系统 需要 通过 程序 测定 异常 事件 ， 让 用 户 知道 哪些 是 足 

以 破坏 系统 安全 的 异常 行为 ， 又 可 分 为 描述 统计 和 缺 省 否定 两 类 。 
模式 发 现 又 称 为 特征 检测 或 滥用 检测 。 如 图 4.41 所 示 ， 它 们 是 基于 已 知 系统 缺陷 和 入 
侵 模式 ， 即 事先 定义 了 一 些 非法 行为 ， 然 后 将 观察 现象 与 之 比较 做 出 判断 。 这 种 技术 可 以 
准确 地 检测 具有 某 些 特征 的 攻击 , 但 是 由 于 过 度 依赖 实现 定义 好 的 安全 策略 ,而 无 法 检测 
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表 4.11 异常 发 现 技术 


系统 名 称 


ul 
规则 建 模 Wisdom & Sense 
非 时 序 
自学 习 型 描述 统计 IDES、 NIDES、 EMERRALD、 JiNao、Haystack 


人 工 神经 网 络 Hypeniew 


MIDAS、 NADIR、 Haystack 
统 1i 基于 简单 规则 NSM 
可 编程 型 
Computer-watch 
省 否 b DPEM、 Janus、 Bro 
系统 未 知 的 攻击 行为 ， 因 而 可 能 产生 漏 报 。 
模式 发 现 技术 对 确 知 的 决策 规则 通过 编程 实 


现 ， 常 用 的 技术 有 如 下 4 种 。 
(0 状态 奸 模 : 将 入 促 行为 表示 成 许多 个 不 em 一 
同 的 状态 。 如 果 在 观察 某 个 可 疑 行为 期 间 ， 所 有 


状态 都 存在 ， 则 判定 为 恶意 入 侵 。 状 态 建 模 从 本 
质 上 来 讲 是 时 间 序 列 模 型 ， 可 以 再 细 分 为 状态 转 
换 和 Petri 网 ， 前 者 将 入 侵 行为 的 所 有 状态 形成 一 个 简单 的 遍历 链 ， 后 者 将 所 有 的 状态 构成 
-个 更 广义 的 树 形 结构 的 Petri 网 。 

(2) 串 匹 配 : 通过 对 系统 之 间 传 输 的 或 系统 自身 产生 的 文本 进行 子 串 匹 配 实现 。 该 方 
法 灵活 性 差 ， 但 易于 理解 ， 目 前 有 很 多 高 效 的 算法 ， 其 执行 速度 很 快 。 

(3) 专家 系统 : 可 以 在 给 定 入 侵 行 为 描述 规则 的 情况 下 ， 对 系统 的 安全 状态 进行 推理 。 
一 般 情况 下 ， 专 家 系统 的 检测 能 力 强 大 ， 灵 活性 也 很 高 ， 但 计算 成 本 较 高 ， 通 常 以 降低 执 
行 速度 为 代价 。 

(4) 基于 简单 规则 : 类 似 于 专家 系统 ， 但 相对 简单 一 些 ， 执 行 速度 快 。 

3) 混合 检测 

近 儿 年 来 ， 混 合 检测 日 益 受 到 人 们 的 重视 。 这 类 检测 在 做 出 决策 之 前 ， 既 分 析 系 统 的 
正常 行为 ， 又 观察 可 疑 的 入 侵 行为 ， 所 以 判断 更 全 面 、 准 确 、 可 靠 。 它 通常 根据 系统 的 正 
常数 据 流 背 景 来 检测 入 侵 行 为 ， 故 也 有 人 称 其 为 “启发 式 特征 检测 ” 属于 这 类 检测 的 技术 
有 以 下 一 些 。 

(1) 人 工 免 疫 方法 。 

(2) 遗传 算法 。 

(3) 数据 挖掘 。 
































图 4.41 模式 发 现 模型 








4. 入 侵 检测 系统 的 特征 库 


IDS 要 有 效 地 捕捉 入 侵 行为 ， 必 须 拥 有 一 个 强大 的 入 侵 特征 〈signature) 数据 库 ， 这 就 
如 同 公安 部 门 必须 拥有 健全 的 罪犯 信息 库 一 样 。 
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IDS 中 的 特征 是 指 用 于 判别 通信 信息 种 类 的 样板 数据 , 通常 分 为 多 种 , 以 下 是 一 些 典 型 
情况 及 其 识别 方法 。 

(1) 来 自 保留 耳 地 址 的 连接 企图 : 可 通过 检查 IP 报头 〈IP header) 的 来 源 地 址 识别 。 

(2) 带 有 非法 TCP 标志 联合 物 的 数据 包 : 可 通过 TCP 报头 中 的 标志 集 与 已 知 正 确 和 
错误 标记 联合 物 的 不 同 点 来 识别 。 

(3) 含有 特殊 病毒 信息 的 E-mail: 可 通过 对 比 每 封 E-mail 的 主题 信息 和 病态 E-mail 的 
主题 信息 来 识别 ， 或 者 通过 搜索 特定 名 字 的 外 延 来 识别 。 

(4) 查询 负载 中 的 DNS 缓冲 区 溢出 企图 : 可 通过 解析 DNS 域 及 检查 每 个 域 的 长 度 
来 识别 。 另 外 一 个 方法 是 在 负载 中 搜索 “这 代码 利用 ”(exploit shellcode) 的 序列 代码 
组 合 。 

(5) 对 POP3 服务 器 大 量 发 出 同一 命令 而 导致 DoS 攻击 : 通过 跟踪 记录 某 个 命令 连续 
发 出 的 次 数 ， 看 看 是 否 超过 了 预 设 上 限 ， 而 发 出 报警 信息 。 

(6) 未 登录 情况 下 使 用 文件 和 目录 命令 对 FTP 服务 器 的 文件 访问 攻击 : 通过 创建 具备 
状态 跟踪 的 特征 样板 以 监视 成 功 登 录 的 FTP 对 话 ， 发 现 未 经 验证 却 发 出 命令 的 入 侵 企 图 。 


显然 ， 特 征 的 涵盖 范围 很 广 ， 有 简单 的 报头 域 数值 ， 有 高 度 复杂 的 连接 状态 跟踪 ， 有 
扩展 的 协议 分 析 。 


此 外 ， 不 同 的 IDS 产品 具有 的 特征 功能 也 有 所 差异 。 例 如 ， 有 些 网 络 IDS 系统 只 允许 
很 少 地 定制 存在 的 特征 数据 或 者 编写 需要 的 特征 数据 ， 另 外 一 些 则 允许 在 很 宽 的 范围 内 定 
制 或 编写 特征 数据 ， 甚 至 可 以 是 任意 一 个 特征 ， 一些 IDS 系统 ， 只 能 检查 确定 的 报头 或 负 
载 数值 ， 另 外 一 些 则 可 以 获取 任何 信息 包 的 任何 位 置 的 数据 。 


4.4.3 ”响应 与 报警 策略 
1. 响应 


早期 的 入 侵 检 测 系 统 的 研究 和 设计 把 主要 精力 放 在 对 系统 的 监控 和 分 析 上 ， 而 把 响应 
的 工作 交 给 用 户 完成 。 现 在 的 入 侵 检 测 系统 都 提供 响应 模块 ， 并 提供 主动 响应 和 被 动 响应 
两 种 响应 方式 。 一 个 好 的 入 侵 检测 系统 应 该 让 用 户 能 够 裁减 定制 其 响应 机 制 ， 以 符合 特定 
的 需求 环境 。 

1) 主动 响应 

在 主动 响应 系统 中 ， 系 统 将 自动 或 以 用 户 设置 的 方式 阻 断 攻 击 过 程 或 以 其 他 方式 影响 
攻击 过 程 ， 通 常 可 以 选择 的 措施 如 下 。 

(1) 针对 入 侵 者 采取 的 措施 。 

(2) 修正 系统 。 

(3) 收集 更 详细 的 信息 。 

2) 被 动 响应 

在 被 动 响应 系统 中 ， 系 统 只 报告 和 记录 发 生 的 事件 。 
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2. 报警 

检测 到 入 侵 行 为 需要 报警 。 具 体 报警 的 内 容 和 方式 需要 根据 整个 网 络 的 环境 和 安全 需 
要 确定 。 例 如 : 

(1) 对 一 般 性 服务 企业 ， 报 警 集中 在 已 知 的 有 威胁 的 攻击 行为 上 。 

(2) 对 关键 性 服务 企业 ， 需 要 将 尽 可 能 多 的 报警 记录 下 来 并 对 部 分 认定 的 报警 进行 实 
时 反馈 。 
4.4.4 ”入 侵 检 测 器 的 部 署 与 设置 

入 侵 检测 器 部 署 的 位 置 直 接 影 响 入 侵 检测 系统 的 工作 性 能 。 在 规划 一 个 入 侵 检 测 系统 
时 ， 首 先 要 考虑 入 侵 检 测 器 的 部 署 位 置 。 显 然 ， 在 基于 网 络 的 入 侵 检测 系统 中 和 在 基于 主 
机 的 入 侵 检测 系统 中 ， 部 署 的 策略 不 同 。 


1. 在 基于 网 络 的 入 侵 检测 系统 中 部 署 入 侵 检测 器 


基于 网 络 的 入 侵 检测 系统 主要 检测 网 络 数据 报 文 ， 因 此 一 般 将 检测 器 部 署 在 靠近 防火 
墙 的 地 方 。 具 体 做 法 有 如 图 4.42 所 示 的 几 个 位 置 。 


< 
“~ 是 ， 


ce ce [| 
检测 器 (3) 和 (4) 检测 器 (1) 检测 器 (2) 和 (4) 


图 4.42 ”基于 网 络 的 入 侵 检测 器 的 部 署 













































































1) DMZ 区 

在 这 里 ， 可 以 检测 到 的 攻击 行为 是 所 有 针对 向 外 提供 服务 的 服务 器 的 攻击 。 由 于 DMZ 
中 的 服务 器 是 外 部 可 见 的 ， 因 此 在 这 里 检测 最 为 需要 。 同 时 ， 由 于 DMZ 中 的 服务 器 有 限 ， 
所 以 针对 这 些 服务 器 的 检测 可 以 使 入 侵 检测 器 发 挥 最 大 优势 。 但 是 ,在 DMZ 中 ,检测 器 会 
暴露 在 外 部 而 失去 保护 ， 容 易 遭 受 攻击 ， 导 致 无 法 工作 。 

2) 内 网 主干 〈 防 火 墙 内 侧 ) 

将 检测 器 放 到 防火 墙 的 内 侧 ， 有 如 下 几 点 好 处 。 

(1) 检测 器 比 放 在 DMZ 中 安全 。 

(2) 所 检测 到 的 都 是 已 经 渗透 过 防火 墙 的 攻击 行为 。 从 中 可 以 有 效 地 发 现 防火 墙 配置 
的 失误 。 

(3) 可 以 检测 到 内 部 可 信用 户 的 越权 行为 。 

(4) 由 于 受 干 扰 的 机 会 少 ， 报 警 概率 也 小 。 

3) 外 网 入 口 〈 防 火 墙 外 侧 ) 

这 种 部 署 的 优势 如 下 。 
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(1) 可 以 对 针对 目标 网 络 的 攻击 进行 计数 ， 并 记录 最 为 原始 的 数据 包 。 

(2) 可 以 记录 针对 目标 网 络 的 攻击 类 型 。 

但 是 ， 检 测 器 部 署 在 外 网 入 口 不 能 定位 攻击 的 源 地 址 和 目的 地 址 ， 系 统管 理 员 在 处 理 
攻击 行为 上 也 有 难度 。 

4) 在 防火 墙 的 内 外 都 放置 

这 种 位 置 既 可 以 检测 到 内 部 攻击 ， 又 可 以 检测 到 外 部 攻击 ， 并 且 无 须 猜 测 攻击 是 否 穿 
越 防火 墙 。 但 是 ， 这 种 部 署 的 开销 较 大 。 在 经 费 充足 的 情况 下 是 最 理想 的 选择 。 

5) 关键 子 网 

这 个 位 置 可 以 检测 到 对 系统 关键 部 位 的 攻击 ， 将 有 限 的 资源 用 在 最 值得 保护 的 地 方 ， 
获得 最 大 效益 /投资 比 。 


2. 在 基于 主机 的 入 侵 检 测 系统 中 部 署 入 侵 检测 器 


基于 主机 的 入 侵 检测 系统 通常 是 一 个 程序 。 在 基于 网 络 的 入 侵 检测 器 的 部 署 和 配置 完 
成 后 ， 基 于 主机 的 入 侵 检测 将 部 署 在 最 重要 、 最 需要 保护 的 主机 上 。 


3. 入 侵 检测 系统 的 设置 


网 络 安全 需要 各 个 安全 设备 的 协同 工作 和 正确 设置 。 由 于 入 侵 检 测 系统 位 于 网 络 体系 
中 的 高 层 ， 高 层 应 用 的 多 样 性 导致 了 入 侵 检测 系统 分 析 的 复杂 性 和 对 计算 资源 的 高 需求 。 
在 这 种 情形 下 ， 对 入 侵 检 测 设备 进行 合理 的 优化 设置 ， 可 以 使 入 侵 检测 系统 更 有 效 地 运行 。 

图 4.43 是 入 侵 检测 系统 设置 的 基本 过 程 。 可 以 看 出 ， 入 侵 检测 系统 的 设置 需要 经 过 多 
次 回溯 ， 反 复 调整 。 














确定 安全 需求 否 


是 一 和 于 一 ~ 


设计 IDE 的 拓扑 


是 一 一 捧 扑 改变 7 
香 


配置 系统 
调整 参数 









































使 用 


百 一 天 站 赤 更 或 安全 页 入 一 一 是 


图 4.43 “入侵 检测 系统 设置 的 基本 过 程 
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4. 报警 策略 

检测 到 入 侵 行为 时 需要 报警 。 具 体 报警 的 内 容 和 方式 需要 根据 整个 网 络 的 环境 和 安全 
需要 确定 。 例 如 : 

(1) 对 一 般 性 服务 企业 ， 报 警 集中 在 已 知 的 有 威胁 的 攻击 行为 上 。 

(2) 对 关键 性 服务 企业 ， 需 要 将 尽 可 能 多 的 报警 记录 下 来 并 对 部 分 认定 的 报警 进行 实 
时 反馈 。 


45 网 络 诱 骗 


防火 墙 和 入 侵 检测 都 是 被 动 防御 技术 ， 而 网 络 诱骗 是 一 种 主动 防御 技术 。 表 4.12 为 两 
种 防御 系统 之 间 的 工作 特点 比较 。 
表 4.12 主动 防御 与 被 动 防御 的 比较 
主动 防御 系统 





项 目 被 动 防御 系统 
主动 性 被 动 地 “ 守 株 待 免 ” 式 防御 主动 跟踪 攻击 者 

攻防 方式 | 攻击 者 主动 选择 攻击 目标 , 可 随意 攻击 | 事先 掌握 攻击 者 的 行为 ， 进 行 跟踪 ， 有 效 制止 攻击 者 的 破坏 行为 
能 对 攻击 者 造成 威胁 和 损害 : 

。 诱惑 黑客 攻击 虚假 网 络 而 忽视 真正 的 网 络 

。 加 重 黑客 的 工作 量 ， 消 耗 其 资源 ， 让 系统 管理 员 有 足够 时 间 响 应 
。 收集 黑客 信息 和 企图 ， 以 便 系统 进行 安全 防护 和 检测 

。 为 起 诉 留 下 证 据 





对 攻击 者 
的 威慑 


对 攻击 方 不 构成 威胁 





4.5.1 窗 钒 主机 技术 


网 络 诱骗 技术 的 核心 是 蜜 缸 (honey pot)。 它 是 运行 在 Internet 上 的 充满 诱惑 力 的 计算 
机 系统 。 这 种 计算 机 系统 有 如 下 一 些 特点 。 

(1) 蜜 饶 是 一 个 包含 漏洞 的 诱骗 系统 ， 它 通过 模拟 一 个 或 多 个 易 受 攻击 的 主机 ， 给 攻 
击 者 提供 一 个 容易 攻击 的 目标 。 

(2) 蜜 缸 不 向 外 界 提 供 真 正 有 价值 的 服务 。 

(3) 所 有 与 蜜 缸 的 连接 尝试 都 被 视 为 可 疑 的 连接 。 

这 样 ， 蜜 钢 就 可 以 实现 如 下 目的 。 

(1) 引诱 攻击 ， 拖 延 对 真正 有 价值 目标 的 攻击 。 

(2) 消耗 攻击 者 的 时 间 ， 以 便 收集 信息 ， 获 取证 据 。 

下 面 介绍 蜜 缸 的 3 种 主要 形式 。 


1. 空 系统 


空 系统 是 一 种 没有 任何 虚假 和 模拟 的 环境 的 完全 真实 的 计算 机 系统 ， 有 真实 的 操作 系 
统 和 应 用 程序 ， 也 有 真实 的 漏洞 。 这 是 一 种 简单 的 蜜 铅 主 机 。 
但 是 ， 空 系统 (以 及 模拟 系统 ) 会 很 快 被 攻击 者 发 现 ， 因 为 他 们 会 发 现 这 不 是 期 待 的 


“239s 





目标 。 
2. 镜像 系统 


建立 一 些 提供 Internet 服务 的 服务 器 镜像 系统 ,会 使 攻击 者 感到 真实 ,也 就 更 具有 欺骗 
性 。 另 一 方面 ， 由 于 是 镜像 系统 ， 所 以 比较 安全 。 


3. 虚拟 系统 


虚拟 系统 是 在 一 台 真实 的 物理 机 器 上 运行 一 些 仿真 软件 ， 模 拟 出 多 台 虚 拟 机 ， 构 建 多 
个 蜜 负 主机。 这 种 虚拟 系统 不 但 逼真 ， 而 且 成 本 较 低 ， 资 源 利用 率 较 高 。 此 外 ， 即 使 攻击 
成 功 ， 也 不 会 威胁 宿主 操作 系统 的 安全 。 


4.5.2 ” 密 网 技术 


蜜 网 (honey net) 技术 也 称 为 陷阱 网 络 技 术 。 它 由 多 个 蜜 钢 主 机 、 路由器、 防火墙、 IDS、 
审计 系统 等 组 成 ， 为 攻击 者 制造 一 个 攻击 环境 ， 供 防御 者 研究 攻击 者 的 攻击 行为 。 


1. 第 一 代 密 网 
图 4.44 为 第 一 代 蜜 网 的 结构 。 




















防火 墙 


“= 










































































图 4.44 第 一 代 蜜 网 的 结构 


下 面 对 其 中 各 部 件 的 作用 加 以 介绍 。 

(1) 防火 墙 用 于 隔离 内 网 和 外 网 ， 防 止 入 侵 者 以 蜜 网 作为 跳板 攻击 其 他 系统 。 其 配 
置 规则 为 : 不 限制 外 网 对 蜜 网 的 访问 ， 但 需要 对 蜜 缸 主机 对 外 的 连接 予以 控制 ， 包 括 : 

Q 限制 对 外 连接 的 目的 地 。 

@ 限制 密 饶 主机 主动 对 外 连接 。 

@ 限制 对 外 连接 的 协议 。 














(2) 路 由 器 : 放 在 防火 墙 与 蜜 网 之 间 ， 利 用 路 由 器 具有 的 控制 功能 来 弥补 防火 墙 的 不 
足 ， 例 如 ， 防 止 地 址 欺骗 攻击 和 DoS 攻击 等 。 
(3) IDS: 是 蜜 网 中 的 数据 捕获 设备 ， 用 于 检测 和 记录 网 络 中 可 疑 的 通信 连接 ， 在 发 现 
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可 疑 的 网 络 活动 时 报警 。 
2. 第 二 代 穴 网 
图 4.45 为 第 二 代 蜜 网 的 结构 图 。 
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图 4.45 第 二 代 蜜 网 的 结构 


第 二 代 蜜 网 技术 将 数据 控制 和 数据 捕获 集中 到 蜜 网 探测 器 中 进行 。 这 样 带 来 的 好 处 
如 下 。 

(1) 便于 安装 和 管理 。 

(2) 隐蔽 性 更 强 。 

(3) 可 以 监控 非 授 权 活动 。 
(4) 可 以 采取 积极 的 响应 方法 限制 非法 活动 的 效果 ， 如 修改 攻击 代码 字 节 ， 使 攻击 失 
效 等 。 

3. 第 三 代 蜜 网 


第 三 代 蜜 网 是 目前 正在 开发 的 蜜 网 技术 。 它 是 建立 在 物理 设备 上 的 分 布 式 虚 拟 系统 ， 
如 图 4.46 所 示 ， 这 样 就 把 蜜 钠 、 数 据 控制 、 数 据 捕获 和 数据 记录 等 都 集中 到 一 台 物 理 设 


备 上 。 
腊 抽 系统 | 虚拟 系统 | 。… || 虚拟 系统 
Cm) 宿主 机 系统 


图 4.46 第 三 代 蜜 网 结构 
4.5.3 常见 网 络 诱骗 工具 及 产品 


1. 宽 色 实现 工具 























1) winetd 

winetd 是 一 个 在 Windows 上 实现 蜜 饶 的 简单 工具 。 它 安装 简单 ， 界 面 友好 ， 适 合 初学 
者 使 用 ; 缺点 是 过 于 简单 ， 并 不 能 真正 诱骗 攻击 者 进入 。 

27 DIK 

DTK (Deception Tool Kit， 可 以 从 http://all.net/dtk/ 网 站 下 载 ) 是 用 C 语言 和 Perl 脚本 
语言 写成 的 一 种 蜜 缸 工具 软件 ， 能 在 支持 C 语言 和 Perl 的 系统 CUNIX) 上 运行 。 它 能 够 监 
听 HTTP、FTP 和 Telnet 等 常用 服务 器 所 使 用 的 端口 ,模拟 标准 服务 器 对 接收 到 的 请 求 所 做 
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出 的 响应 ， 还 可 以 模拟 多 种 常见 的 系统 漏洞 。 其 不 足 之 处 是 : 模拟 不 太 逼 真 ， 构 建 过 程 
麻烦 。 
3) Honeyd 


Honeyd〔 可 以 从 http://www.citi.umich.edu/wprovos/honeyd 网 站 下 载 ) 是 一 个 专用 的 蜜 
钠 构 建 软件 ， 可 以 虚拟 多 种 主机 ， 配 置 运行 不 同 的 服务 和 操作 系统 。 


2. 蜜 网 实现 工具 


(1) 数据 控制 工具 : Jptable、snort_inline。 

(2) 数据 捕获 工具 : Termlog、Sebek2、snort、Comlog。 

(3) 数据 收集 工具 : Obfugator。 

(4) 数据 分 析 工 具 : Privmsg、TASK、WinInterrogate。 

以 上 工具 可 以 从 下 面 的 网 址 下 载 : http://project.honeynet.org/。 





习 题 
一 、 选 择 题 
1. 防火 墙 用 于 将 Internet 和 内 部 网 络 隔离 ， 是 可 
A. 防止 mnternet 火 灾 的 硬件 设施 B. 网 络 安全 和 信息 安全 的 软件 和 硬件 设施 
C. 保护 线路 不 受 破坏 的 软件 和 硬件 设施 D. 起 抗 电磁 干扰 作用 的 硬件 设施 
2. 防火 墙 最 主要 被 部 署 在 位 置 。 
A. 网 络 边界 B. 骨干 线路 C. 重要 服务 器 和 旁 ” D. 桌面 终端 
3. 下 列 关于 防火 墙 的 说 法 中 错误 的 是 
A. 防火 墙 工作 在 网 络 层 B. 防火 墙 对 耳 数 据 包 进行 分 析 和 过 滤 
C. 防火 墙 是 重要 的 边界 保护 机 制 D. 部 署 防火 墙 ， 就 解决 了 网 络 安全 问题 
4. 在 一 个 企业 网 中 ， 防 火 墙 应 该 是 的 一 部 分 ， 构 建 防火 墙 时 首先 要 考虑 其 保护 的 范围 。 
A. 安全 技术 B. 安全 设置 C. 局 部 安全 策略 D. 全 局 安全 策略 
5. 一 般 而 言 ，Intemet 防 火 墙 建立 在 一 个 网 络 的 
A. 内 部 子 网 之 间 传 送信 息 的 中 枢 B. 每 个 子 网 的 内 部 
C. 内 部 网 络 与 外 部 网 络 的 交叉 点 D. 部 分 内 部 网 络 与 外 部 网 络 的 结合 处 
6. 包 过 滤 型 防火 墙 从 原理 上 看 是 基于 进行 数据 包 分 析 的 技术 。 
A. 物理 层 B. 数据 链 路 层 C. 网 络 层 D. 应 用 层 
7. 对 非 军事 DMZ 而 言 ， 正 确 的 解释 是 . 


A. DMZ 是 一 个 真正 可 信 的 网 络 部 分 
B. DMZ 网 络 访问 控制 策略 决定 允许 或 禁止 进入 DMZ 通 信 
C. 允许 外 部 用 户 访问 DMZ 系 统 上 合适 的 服务 
D. 以 上 3 项 都 对 
8. 对 动态 网 络 地 址 交换 (NAT)， 不 正确 的 说 法 是 a 
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A. 将 很 多 内 部 地 址 映射 到 单个 真实 地 址 。“B. 外 部 网 络 地 址 和 内 部 地 址 一 对 一 地 映射 








C. 每 个 连接 使 用 一 个 端口 D. 最 多 可 有 64 000 个 同时 的 动态 NAT 连 接 
9. 以 下 不 是 包 过 滤 防 火 墙 主要 过 滤 的 内 容 。 
A. 源 IP 地 址 B. 目的 了 地址 
C. TCP 源 端口 和 目的 端口 D. 时 间 
10. 在 被 屏蔽 的 主机 体系 中 , 堡垒 主机 位 于 中 , 所 有 的 外 部 连接 都 经 过 滤 路 由 器 到 它 上 面 去 。 
A. 内 部 网 络 B. 周边 网 络 C. 外 部 网 络 D. 自由 连接 
11. 外 部 数据 包 经 过 过 滤 路 由 只 能 阻止 的 唯一 中 欺骗 。 
A. 内 部 主机 伪装 成 外 部 主机 IP B. 内 部 主机 伪装 成 内 部 主机 了 
C. 外 部 主机 伪装 成 外 部 主机 IP D. 外 部 主机 伪装 成 内 部 主机 IP 
12. IPSec 协议 工作 在 网 络 的 
A. 数据 链 路 层 B. 网 络 层 C. 应 用 层 D. 传输 层 
13. IPSec 协议 中 涉及 密 钥 管理 的 重要 协议 是 
A. IKE B. AH C. ESP D. SSL 


14. SSL 产 生 会 话 密 钥 的 方式 是 
A. 从 密 钥 管理 数据 库 中 请 求 获得 
B. 每 一 台 客户 机 分 配 一 个 密 钥 的 方式 
C. 随机 由 客户 机 产生 并 加 密 后 通知 服务 器 
D. 由 服务 器 产生 并 分 配给 客户 机 
15. 传输 层 保护 的 网 络 采用 的 主要 技术 是 建立 在 基础 上 的 
[ 靠 的 传输 服务 ”安全套 接 字 层 (SSL) 协议 
不 可 靠 的 传输 服务 S-HTTP 协 议 
C. 可 靠 的 传输 服务 S-HTTP 协 议 
D. 不 可 靠 的 传输 服务 “安全套 接 字 层 (SSL) 协议 











| 


A. 
B, 





16. 主要 用 于 加 密 机 制 的 协议 是 

A. HTTP B. FTP C. Telnet D. SSL 
17. 通常 所 说 的 移动 VPN 是 指 

A. Access VPN B. Intranet VPN C. Extranet VPN D. 以 上 均 不 是 
18. 以 下 属于 第 二 层 的 VPN 隧 道 协议 有 。 

A. IPSec B. PPTP C. GRE D. 以 上 均 不 是 
19. 将 公司 与 外 部 供应 商 、 客 户 及 其 他 利益 相关 群体 相连 接 的 是 vy 

A. 内 联网 VPN B. 外 联网 VPN C. 远程 接 入 VPN ”D. 无 线 VPN 
20. 以 下 不 属于 隧道 协议 的 是 3 

A. PPTP B. L2TP C. TCP/IP D. IPSec 
21. 以 下 不 属于 VPN 核 心 技术 的 是 1 

A. 隧道 技术 B. 身份 认证 C. 日 志 记 录 D. 访问 控制 
3 通过 一 个 拥有 与 专用 网 络 相 同 策略 的 共享 基础 设施 ， 提 供 对 企业 内 部 网 或 外 部 网 的 远程 


访问 。 
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A. Access VPN B. Intranet VPN C. Extranet VPN D. Intemet VPN 


23. L2TP 隧 道 在 两 端的 VPN 服 务 器 之 间 采 用 来 验证 对 方 的 身份 。 

A. SSL B. 数字 证 书 C. Kerberos D. 口令 握手 协议 CHAP 
24. 入 侵 检 测 的 基本 方法 是 

A. 基于 用 户 行为 概率 统计 模型 的 方法 B. 基于 神经 网 络 的 方法 

C. 基于 专家 系统 的 方法 D. 以 上 都 正确 
25. 关于 入 侵 检测 技术 ， 下 列 描述 中 错误 的 是 y 


A. 入 侵 检 测 系统 不 对 系统 或 网 络 造成 任何 影响 

B. 审计 数据 或 系统 日 志 信息 是 入 侵 检测 系统 的 一 项 主要 信息 来 源 

C. 入 侵 检测 信息 的 统计 分 析 有 利于 检测 到 未 知 的 入 侵 和 更 为 复杂 的 入 侵 
D. 基于 网 络 的 入 侵 检测 系统 无 法 检查 加 密 的 数据 流 








二 、 填 空 题 

1. 防火 墙 位 于 之 间 ， 一 端 是 ， 另 一 端 是 

2. 防火 墙 系统 的 主要 体系 结构 有 体系 结构 、 体系 结构 和 体系 结构 。 

3. 按 检测 的 监控 位 置 划 分 ， 入 侵 检 测 系统 可 分 为 基于 的 入 侵 检测 系统 、 基 于 的 入 
侵 检测 系统 和 入 侵 检测 系统 。 

4. 被 定义 为 通过 公用 网 络 建立 的 一 个 临时 的 、 安 全 的 连接 ,是 一 条 穿 过 公用 网 络 的 安全 、 稳 
定 的 通道 。 

三 、 问 答题 


1. 在 组 建 Intranet 时 ， 防 火 墙 是 必需 的 吗 ? 为 什么 ? 

2. 试 述 一 个 防火 墙 产品 应 具备 哪些 基本 功能 。 

3. 下 面 是 选择 防火 墙 时 应 考虑 的 一 些 因素 ， 请 按 你 的 理解 ， 将 它们 按 重要 性 排序 。 

(1) 被 保护 网 络 受 威胁 的 程度 。 

(2) 受到 入 侵 ， 网 络 的 损失 程度 。 

(3) 网 络 管理 员 的 经 验 。 

(4) 被 保护 网 络 的 已 有 安全 措施 。 

(5) 网 络 需求 的 发 展 。 

(6) 防火 墙 自身 管理 的 难 易 度 。 

(7) 防火 墙 自身 的 安全 性 。 

4. 列举 更 多 的 防火 墙 系统 结构 ， 最 好 有 自己 的 创意 。 

5. 查找 资料 ， 叙 述 防火 墙 测试 的 内 容 和 方法 。 

6. 查找 资料 ， 叙 述 防火 墙 选 型 的 基本 原则 和 具体 标准 。 

7. 简 述 攻击 防火 墙 的 主要 手段 。 

8. 查找 资料 ， 简 述 目前 国内 外 防火 墙 技术 发 展 的 现状 和 自己 对 防火 墙 的 未 来 的 设想 。 

9. 收集 资料 ， 对 当前 常用 的 防火 墙 产品 进行 分 析 比 较 ， 详 细 描述 其 中 的 3 种 防火 墙 产品 的 用 法 以 及 升 
级 方法 。 
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10. 浏览 最 热门 的 3 个 防火 墙 技术 网 站 ， 综 述 目 前 关于 防火 墙 讨论 的 热点 问题 。 

11. 有 一 个 内 部 网 (192.168.20.0) 只 与 菜 一 台 外 部 主机 (172.1652.55) 交换 数据 。 写 出 位 于 它们 之 间 
的 数据 包 过 滤 规 则 。 

12. 比较 包 过 滤 、 网 络 地 址 转换 和 代理 技术 的 特点 以 及 适用 的 环境 。 

13. 简 述 国内 外 物理 隔离 技术 的 现状 和 发 展 趋势 。 

14. 浏览 网 站 ， 列 举国 内 有 关 物 理 隔离 设备 的 厂家 及 其 产品 的 特点 。 

15. 收集 国内 外 有 关 网 络 隔离 技术 的 网 站 信息 ， 简 要 说 明 各 网 站 的 特点 。 

16. 收集 国内 外 有 关 网 络 隔离 技术 的 最 新 动态 。 

17. 简 述 VPN 使 用 了 哪些 主要 技术 。 

18. 综述 有 关 入 侵 检测 技术 的 各 种 定义 。 

19. 入 侵 检测 系统 有 哪些 可 以 利用 的 数据 源 ? 

20. 试 构 造 一 个 网 络 数据 包 的 截获 程序 。 

21. 试 述 入 侵 检测 系统 的 工作 原理 。 

22. 收集 资料 ， 对 国内 外 主要 基于 网 络 的 入 侵 检测 产品 进行 比较 。 

23. 收集 资料 ， 对 国内 外 主要 基于 主机 的 入 侵 检 测 产品 进行 比较 。 

24. 分 析 入 侵 检测 系统 的 不 足 和 发 展 趋势 。 

25. 入 侵 检测 技术 与 法 律 有 什么 关系 ? 

26. 简 述 蜜 馈 技 术 的 特殊 用 途 。 

27. 用 下 载 的 蜜 饶 工 具 构造 一 个 简单 的 蜜 饶 系 统 。 

28. 收集 国内 外 有 关 入 侵 检测 、 网 络 诱骗 的 最 新 动态 。 
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第 5 章 信息 系统 安全 管理 


信息 系统 是 复杂 的 系统 ， 其 安全 的 运行 不 仅 与 技术 有 关 ， 还 涉及 人 和 制度 。 因 此 ， 从 
用 户 的 角度 看 ， 更 需要 强调 三 分 技术 、 七 分 管理 。 

经 过 多 年 的 实践 和 研究 ， 各 个 国家 以 及 组 织 ， 都 已 形成 完善 的 信息 安全 管理 体系 和 方 
法 。 本 章 介绍 信息 系统 管理 中 的 一 些 主要 环节 。 


5.1 信息 系统 应 急 响 应 


“智者 干 虑 ， 必 有 一 失 。” 尽 管 人 们 已 经 为 信息 系统 的 防护 开发 了 许多 技术 ， 但 是 很 难 
没有 一 点 疏漏 ， 何 况 入 侵 者 也 是 一 些 技术 高 手 。 

系统 遭受 到 一 次 入 侵 ， 就 面临 一 次 灾难 。 这 些 影响 信息 系统 安全 的 不 正当 行为 就 称 为 
事件 。 事 件 响 应 就 是 事件 发 生 后 所 采取 的 措施 和 行动 。 信 息 系统 的 脆弱 ， 加 上 入 侵 技术 的 
不 断 进化 ， 使 得 入 侵 不 可 避免 。 因 此 ， 安 全 事件 响应 就 成 为 一 个 与 防火 墙 技术 、 入 侵 检 测 
技术 等 同样 重要 的 安全 保障 策略 和 手段 。 

1988 年 ,英里 斯 星 虫 以 迅雷 不 及 拖 耳 之 势 肆 虐 互 联网 ,招致 上 千 台 计算 机 系统 的 崩溃 ， 


依赖 程度 的 不 断 增强 ， 对 付 入 侵 不 仅 需 要 防御 ， 还 要 能 够 在 事件 发 生 后 进行 紧急 处 理 和 援 
助 。1989 年 ， 在 美国 国防 部 的 资助 下 ， 计 算 机 紧急 响应 组 /呼叫 中 心 (Computer Emergency 
Team/Call Center，CERT/CC) 成 立 。 从 此 紧急 响应 被 摆 到 了 人 们 的 议事 桌 上 。 

- 般 说 来 ， 每 个 使 用 信息 系统 的 组 织 都 应 当 有 一 套 应 急 响 应 机 制 。 该 机 制 应 包括 4 个 
基本 环节 。 

(1) 信息 系统 应 急 响 应 组 织 。 

(2) 信息 系统 安全 保护 制度 。 

(3) 信息 系统 应 急 预 案 。 

(4) 信息 系统 应 急 演练 。 


5.1.1 应 急 响 应 组 织 


应 急 响 应 组 织 的 主要 工作 如 下 。 

(1) 安全 事件 与 软件 安全 缺陷 分 析 研究 。 

(2) 安全 知识 库 〈 包 括 漏洞 知识 、 入 侵 检测 等 ) 开发 与 管理 。 

(3) 安全 管理 和 应 急 知识 的 教育 与 培训 。 

(4) 发 布 安全 信息 〈 如 系统 漏洞 与 补丁 、 病 毒 警告 等 )。 

(5) 安全 事件 紧急 处 理 。 

应 急 响 应 组 织 包 括 应 急 保障 领导 小 组 和 应 急 技 术 保 障 小 组 。 应 急 保障 领导 小 组 的 主要 
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职责 是 领导 与 协调 突 发 事件 与 自然 灾害 的 应 急 处 理 。 应 急 技 术 保障 小 组 主要 解决 安全 事件 
的 技术 问题 ， 如 物理 实体 和 环境 安全 技术 、 网 络 通信 技术 、 系 统 平台 技术 、 应 用 系统 技术 
等 。 当 然 其 中 有 些 工作 也 可 以 进行 服务 外 包 。 


5.1.2 ”信息 系统 安全 保护 制度 


信息 系统 安全 保护 制度 主要 包括 如 下 4 个 方面 的 内 容 。 
(1) 信息 系统 安全 责任 制度 。 

(2) 信息 系统 安全 检测 制度 。 

(3) 信息 系统 安全 报告 制度 。 

(4) 信息 安全 行为 规范 。 

1. 信息 系统 安全 责任 制度 


信息 系统 安全 责任 制度 包括 如 下 儿 个 方面 。 

1) 责任 到 人 

例如 , 《广东 省 计算 机 信息 系统 安全 保护 管理 规定 》( 经 2003 年 3 月 31 日 广东 省 人 民 
政府 第 十 届 4 次 常务 会 议 通 过 ，2003 年 4 月 8 日 广东 省 人 民政 府 令 第 81 号 发 布 ， 自 2003 
年 6 月 1 日 起 施行 ) 要 求 :“ 计 算 机 信息 系统 使 用 单位 应 当 确 定 计 算 机 安全 管理 责任 人 ， 建 
立 健全 安全 保护 制度 ， 落 实 安全 保护 技术 措施 ， 保 障 本 单位 计算 机 信息 系统 安全 ， 并 协助 
公安 机 关 做 好 安全 保护 管理 工作 。” 

2) 确定 信息 系统 安全 保护 的 重点 部 门 

例如 ， 对 于 一 个 地 区 ， 应 当 把 下 列 计算 机 信息 系统 使 用 单位 为 重点 安全 保护 单位 。 

(1) 县 级 以 上 国家 机 关 、 国 防 单位 。 

(2) 银行 、 证 券 、 能 源 、 交 通 、 邮 电 遂 信 单 位 。 

(3) 国家 及 省 重点 科研 、 教 育 单位 。 

(4) 国有 大 中 型 企业 。 

(5) 互联 单位 、 接 入 单位 及 重点 网 站 。 

(6) 向 公众 提供 上 网 服务 的 场所 。 

3) 建立 信息 系统 安全 从 业 资 质 、 证 书 制度 


例如 ,《 广 东 省 计算 机 信息 系统 安全 保护 管理 规定 》 要 求 : 

(1) 重点 安全 保护 单位 计算 机 安全 管理 责任 人 和 信息 审查 员 应 当 参 加 县 级 以 上 人 民政 
府 公 安 机 关 认 可 的 安全 技术 培训 ， 并 取得 安全 技术 培训 合格 证 书 。 

(2) 申请 安全 服务 资质 ， 应 当 具 备 以 下 条 件 。 

Q 取得 相应 经 营 范 围 的 营业 执照 。 

@ 取得 安全 技术 培训 合格 证 书 的 专业 技术 人 员 不 少 于 10 人 ， 其 中 大 学 本 科 以 上 学 历 
的 人 员 所 占 比例 不 少 于 70%。 

@ 负责 安全 服务 工作 的 管理 人 员 应 当 具 有 两 年 以 上 从 事 计 算 机 信息 系统 安全 技术 领 
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域 企业 管理 工作 经 历 ， 并 取得 安全 技术 培训 合格 证 书 。 

@ 有 与 其 从 事 的 安全 服务 业务 相 适 应 的 技术 装备 。 

@ 有 与 其 从 事 的 安全 服务 业务 相 适 应 的 组 织 管理 制度 。 

@ 法 律 法 规 规定 的 其 他 条 件 。 

4) 信息 安全 奖惩 制度 

例如 , 《广东 省 计算 机 信息 系统 安全 保护 管理 规定 》(2003) 要 求 :“ 计 算 机 信息 系统 使 
用 单位 应 当 将 计算 机 信息 系统 安全 保护 工作 纳入 内 部 检查 、 考 核 、 评 比 内 容 。 对 在 工作 中 
成 绩 突出 的 部 门 和 个 人 ， 应 当 给 予 表彰 奖励 。 对 未 依法 履行 安全 保护 职责 或 违反 本 单位 安 
全 保护 制度 的 ， 应 当 依照 有 关 规 定 对 责任 人 员 给 予 行政 处 分 。” 


2. 信息 系统 安全 检测 制度 


信息 系统 维护 与 管理 人 员 要 定期 对 信息 系统 进行 安全 检测 ， 防 患 于 未 然 ， 包 括 定期 检 
查 下 列 内 容 。 

(1) 系统 重要 部 分 的 元 余 或 备份 措施 。 

(2) 计算 机 病毒 防治 措施 。 

(3) 网 络 攻击 防范 、 追 踪 措 施 。 

(4) 安全 审计 和 预警 措施 。 

(5) 系统 运行 和 用 户 使 用 日 志 记录 保存 60 日 以 上 措施 。 

(6) 记录 用 户主 叫 电 话 号 码 和 网 络 地 址 的 措施 。 

(7) 身份 登记 和 识别 确认 措施 。 

(8) 信息 群发 限制 和 有 害 数据 防治 措施 。 


3. 信息 系统 安全 报告 制度 


要 建立 信息 系统 安全 报告 制度 ， 按 照 有 关 规 定 ， 向 有 关 部 门 报告 信息 系统 安全 运行 情 
况 以 及 有 关 事 件 。 例 如 , 《广东 省 计算 机 信息 系统 安全 保护 管理 规定 》(2003) 要 求 “ 对 计 
算 机 信息 系统 中 发 生 的 重大 安全 事故 ， 使 用 单位 应 当 采 取 应 急 措 施 ， 保 留 有 关 原 始 记录 ， 
在 24 小 时 内 向 当地 县 级 以 上 人 民政 府 公安 机 关 报告 ” 


4. 信息 安全 行为 规范 


通常 要 求 任何 单位 和 个 人 不 得 利用 计算 机 信息 系统 从 事 下 列 行为 。 

(1) 制作 、 复 制 、 查 阅 、 传 播 有 害 信息 。 

(2) 侵犯 他 人 隐私 ， 窃 取 他 人 账号 ， 假 冒 他 人 名 义 发 送信 息 ， 或 者 向 他 人 发 送 垃圾 信息 。 
(3) 以 营利 或 者 非 正常 使 用 为 目的 ， 未 经 允许 向 第 三 方 公开 他 人 电子 邮箱 地 址 。 

(4) 未 经 允许 修改 、 删 除 、 增 加 、 破 坏 计算 机 信息 系统 的 功能 、 程 序 及 数据 。 

(5) 危害 计算 机 信息 系统 安全 的 其 他 行为 。 
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5.1.3 ”信息 系统 应 急 预案 
1. 应 急 预 案 及 基本 内 容 


应 急 预案 是 指 根据 不 同 的 突 发 紧急 事件 类 型 和 意外 情形 预先 制定 的 处 理 方案 。 应 急 预 
案 一 般 要 包括 如 下 内 容 。 

(1) 执行 应 急 预 案 的 人 员 ( 姓 名、 住址 、 电 话 号 码 以 及 有 关 职 能 部 门 的 联系 方法 )。 

(2) 系统 紧急 事件 类 型 及 处 理 措施 的 详细 说 明 。 

(3) 应 急 处 理 的 具体 步骤 和 操作 顺序 。 


2. 常见 安全 事件 举例 


应 急 预 案 要 根据 安全 事件 的 类 型 进行 对 应 的 处 理 。 不 同 的 组 织 中 ， 信 息 系 统 安全 事件 
的 常见 类 型 有 所 不 同 ， 工 作 人 员 应 当 根据 行业 性 质 和 地 域 状况 进行 具体 分 析 。 下 面 提供 一 
些 常见 的 安全 事件 类 型 供 参考 。 

(1) 物理 实体 及 环境 类 安全 事件 ， 如 意外 停电 、 物 理 设备 丢失 、 火 灾 、 水 灾 等 。 

(2) 网 络 通信 类 安全 事件 ， 如 网 络 蠕虫 侵害 等 。 

(3) 主机 系统 类 安全 事件 ， 如 计算 机 病毒 、 口 令 丢 失 等 。 

(4) 应 用 系统 类 安全 事件 ， 如 客户 信息 丢失 等 。 


3. 应 急事 件 处 理 的 基本 流程 


1) 安全 事件 报警 

值班 人 员 发 现 紧 急 情况 ， 要 及 时 报告 。 报 告 要 对 安全 事件 进行 准确 描述 并 作 书 面 记录 。 
按照 安全 事件 的 类 型 ， 安 全 事件 呈报 条 例 应 依次 报告 :值班 人 员 、 应 急 工 作 组 长 、 应 急 领 
导 小 组 。 如 果 想 进行 任何 类 型 的 跟踪 调查 或 者 起 诉 入 侵 者 ， 应 先 跟 管理 人 员 和 法 律 顾 问 商 
量 ， 然 后 通知 有 关 执 法 机 构 。 一 定 要 记 住 ， 除 非 执法 部 门 的 参与 ， 否 则 对 入 侵 者 进行 的 一 
切 跟 踪 都 可 能 是 非法 的 。 

同时 ， 还 应 通知 有 关 人 员 ， 交 换 相关 信息 ， 必 要 时 可 以 获得 援助 。 

2) 信息 安全 紧急 事件 认定 

信息 系统 发 生 下 列 事件 之 一 ， 应 视 为 紧急 事件 。 

(1) 信息 系统 硬件 受到 破坏 性 攻击 ， 不 能 正常 发 挥 其 部 分 或 全 部 功能 。 

(2) 信息 系统 软件 受到 破坏 性 攻击 ， 不 能 正常 发 挥 其 部 分 或 全 部 功能 。 

(3) 信息 系统 受到 恶意 程序 攻击 ， 局 部 或 全 部 数据 或 功能 受到 损坏 ， 或 工作 效率 急剧 
降低 。 

(4) 相关 物理 设备 受到 人 为 和 自然 灾害 破坏 ， 无 法 正常 工作 。 

(5) 出 现 意外 停电 而 又 无 后 备 电源 。 

(6) 关键 岗位 人 员 不 能 到 位 。 

紧急 事件 发 生 后 ， 应 尽快 确定 安全 事件 的 类 型 ， 以 便 启动 相应 的 预案 。 
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3) 启动 应 急 预 案 

(1) 首先 要 能 够 找到 应 急 预 案 。 

(2) 保护 现场 证 据 (如 系统 事件 、 处 理 者 采取 的 行动 、 与 外 界 的 沟通 等 )， 避免 灾害 扩大 。 
(3) 控制 事态 发 展 。 

4) 恢复 系统 

这 部 分 内 容 将 在 5.1.4 节 中 详细 介绍 。 

5) 应 急 工作 总 结 

召开 会 议 ， 分 析 问 题 和 解决 方法 ， 具 体 可 参考 ftp://ftp.isi.edu/in-notes/rfc2196.txt。 
(1) 总 结 教训 。 从 记录 中 总 结 关 于 这 起 事故 的 教训 ， 这 有 助 于 反思 安全 策略 。 
(2) 计算 事件 的 代价 。 计 算 事 件 代 价 有 助 于 让 组 织 认识 到 安全 的 重要 性 。 
(3) 改进 安全 策略 。 

6) 撰写 安全 事件 报告 

安全 事件 报告 的 内 容 包 括 以 下 部 分 。 

(1) 安全 事件 发 生 的 日 期 、 时 间 。 

(2) 安全 事件 处 理 参加 的 人 员 。 

(3) 事件 发 现 的 途径 。 

(4) 事件 类 型 。 

(5) 事件 涉及 范围 。 

(6) 现场 记录 。 

(7) 事件 导致 的 损失 和 影响 。 

(8) 事件 处 理 过 程 。 

(9) 使 用 的 技术 和 工具 。 

(10) 经 验 和 教训 。 


5.1.4 ”灾难 恢复 

灾难 恢复 是 安全 事件 应 急 预 案 中 特别 重要 的 部 分 ， 从 发 现 入 侵 的 那 一 刻 起 ， 所 有 工作 
就 都 围绕 它 进行 。 

1. 灾难 恢复 的 内 容 

灾难 恢复 中 应 当 包括 如 下 几 项 内 容 。 

1) 与 高 层 管理 人 员 协 商 

系统 恢复 的 步骤 应 当 符 合 组 织 的 安全 预案 。 如 果 安 全 预案 中 没有 描述 ， 应 当 与 管理 人 
员 协 商 ， 以 便 能 从 更 高 角度 进行 判断 ， 并 得 到 更 多 部 门 的 支持 和 配合 。 

2) 夺回 系统 控制 权 

为 了 夺回 对 被 入 侵 系统 的 控制 权 ， 先 需要 将 被 入 侵 系统 从 网 络 上 断 开 ， 包 括 拨号 连接 。 
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如 果 在 恢复 过 程 中 ， 没 有 断 开 被 侵入 系统 和 网 络 的 连接 ， 入 侵 者 就 可 能 破坏 所 进行 的 恢复 
工 帮 s 

进行 系统 恢复 也 会 丢失 一 些 有 用 信息 ， 如 入 侵 者 正在 使 用 的 扫描 程序 或 监听 进程 。 
此 想 要 继续 追踪 入 侵 者 时 ， 可 以 先 不 夺回 系统 控制 权 ， 以 免 被 入 侵 者 发 现 。 但 是 ， 也 要 采 
取 其 他 一 些 措施 ， 避 免 入 侵 蔓 延 。 

3) 复制 一 份 被 入 侵 系统 的 映像 

在 进行 入 侵 分 析 之 前 ,最 好 对 被 入 侵 系 统 进行 备份 (如 使 用 UNIX 命令 dd)。 这 个 备份 
在 恢复 失败 时 非常 有 用 。 

4) 入 侵 评 估 

入 侵 评估 包括 入 侵 风 险 评 估 、 入 侵 路 径 分 析 、 入 侵 类 型 确定 和 入 侵 涉及 范围 调查 。 下 
面 介 绍 围绕 这 些 工 作 进行 的 调查 工作 。 

(1) 详细 审查 系统 日 志文 件 和 显示 器 输出 ， 检 查 异 常 现象 。 

(2) 入 侵 者 遗留 物 分析 ， 包 括 以 下 几 方 面 。 

@ 检查 入 侵 者 对 系统 文件 和 配置 文件 的 修改 。 

@ 检查 被 修改 的 数据 。 

@ 检查 入 侵 者 留 下 的 工具 和 数据 。 

@ 检查 网 络 监听 工具 。 

(3) 其 他 ， 如 网 络 的 周边 环境 和 涉及 的 远程 站 点 。 

5) 清除 后 门 

后 门 是 入 侵 者 为 下 次 攻击 设 下 的 埋伏 ， 包 括 修改 了 的 配置 文件 、 系 统 木马 程序 、 修 改 
了 的 系统 内 核 等 。 

6) 查阅 CERT 的 安全 建议 、 安 全 总 结 和 供应 商 的 安全 提示 

查阅 CERT 以 往 的 安全 建议 和 总 结 以 及 供应 商 的 安全 提示 ， 一 定 要 安装 所 有 的 安全 
补丁 。 

(1) CERT 安全 建议 ， 见 http://www.cert.org/advisories/。 

(2) CERT 安全 总 结 : 见 http://www.cert.org/advisories/。 

(3) 供应 商 安全 提示 : 见 ftp: //ftp.cert.org/pub/cert_bulletins/。 

7) 记录 恢复 过 程 中 所 有 的 步骤 

毫 不 夸张 地 讲 ， 记 录 恢 复 过 程 中 采取 的 每 一 步 措施 都 是 非常 重要 的 。 恢 复 一 个 被 入 侵 
的 系统 是 一 件 很 麻烦 的 事 ， 要 耗费 大 量 的 时 间 ， 因 此 经 常会 使 人 做 出 一 些 草率 的 决定 。 记 
录 恢 复 过 程 的 每 一 步 可 以 帮助 自己 避免 做 出 草率 的 决定 ， 还 可 以 留 作 以 后 参考 ， 也 可 能 给 
法 律 调查 提供 帮助 。 

8) 系统 恢复 

各 种 安全 事件 预案 的 执行 都 是 为 了 使 系统 在 事故 后 得 以 迅速 恢复 。 对 于 服务 器 和 数据 
库 等 特别 重要 的 设备 ， 则 需要 单独 订立 紧急 恢复 预案 。 
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(1) 操作 系统 恢复 。 

@ 安装 干净 的 操作 系统 版 本 。 如 果 主 机 被 入 侵 ， 就 应 当 考 虑 系统 中 的 任何 东西 都 可 能 
被 攻击 者 修改 过 了 ， 包 括 内 核 、 二 进 制 可 执行 文件 、 数 据 文件 、 正 在 运行 的 进程 以 及 内 存 。 
通常 ， 需 要 从 发 布 介质 上 重 装 操作 系统 ， 然 后 在 重新 连接 到 网 络 上 之 前 ， 安 装 所 有 的 安全 
补丁 ， 只 有 这 样 才 会 使 系统 不 受 后 门 和 攻击 者 的 影响 。 只 找 出 并 修补 被 攻击 者 利用 的 安全 
缺陷 是 不 够 的 。 

建议 使 用 干净 的 备份 程序 备份 整个 系统 。 然 后 重 装 系统 。 

@ 取消 不 必要 的 服务 。 只 配置 系统 要 提供 的 服务 ， 取 消 那些 没有 必要 的 服务 。 检 查 并 
确信 其 配置 文件 没有 脆弱 性 以 及 该 服务 是 否 可 靠 。 通 常 ， 最 保守 的 策略 是 取消 所 有 的 服务 ， 
只 启动 所 需要 的 服务 。 

@ 安装 供应 商 提供 的 所 有 补丁 。 建 议 安装 所 有 的 安全 补丁 , 使 系统 能 够 抵御 外 来 攻击 ， 
不 被 再 次 入 侵 ， 这 是 最 重要 的 一 步 。 

@ 安装 所 有 需要 的 驱动 程序 。 

@ 安装 所 有 需要 的 服务 软件 包 。 

@ 安装 备份 软件 及 其 修补 程序 。 

显然 ， 用 手工 进行 服务 器 的 恢复 是 非常 麻烦 的 。 如 果 能 设计 一 种 专门 的 软件 包 ， 可 以 
生成 存 有 服务 器 镜像 文件 的 启动 盘 来 恢复 服务 器 ， 就 便利 多 了 。 

(2) 数据 库 系 统 的 恢复 。 

数据 库 恢 复 是 指 通过 技术 手段 ， 将 保存 在 数据 库 中 丢失 的 电子 数据 进行 抢救 和 恢复 的 
技术 ， 其 中 包括 : 

@ 数据 文件 恢复 : 把 备份 文件 恢复 到 原来 位 置 。 

@ 控制 文件 恢复 : 控制 文件 受 损 时 ， 要 将 其 恢复 到 原 位 重新 启动 。 

@ 文件 系统 恢复 : 在 大 型 操作 系统 中 ， 可 能 会 因 介质 受 损 导致 文件 系统 被 破坏 。 

数据 库 恢 复 的 一 般 步 骤 如 下 。 

@ 将 介质 重新 初始 化 。 

@ 重新 创建 文件 系统 。 

@ 利用 备份 完整 地 恢复 数据 库 中 的 数据 。 

@ 启动 数据 库 系 统 。 

(3) 数据 恢复 。 

谨慎 使 用 备份 数据 。 在 从 备份 中 恢复 数据 时 ， 要 确信 备份 主机 没有 被 入 侵 。 一 定 要 记 
住 ， 恢 复 过 程 可 能 会 重新 带 来 安全 缺陷 ， 被 入 侵 者 利用 。 例 如 ， 备 份 中 的 用 户 的 home 目录 
(UNIX/Linux 系统 中 有 一 个 /home 目录 , 通常 用 来 保存 用 户 的 文件 ， 并 且 一 个 用 户 登录 系统 
并 进入 后 所 处 的 位 置 就 是 /home 目录 )、 数 据 文件 、hosts 文件 (hosts 是 一 个 没有 扩展 名 的 系 
统 文件 ， 可 以 用 记事 本 等 工具 打开 ， 其 作用 就 是 将 一 些 常用 的 网 址 域名 对 应 的 IP 地 址 建立 
一 个 关联 “数据 库 ”) 中 也 许 藏 有 特洛伊 木马 程序 。 

9) 改变 密码 

在 弥补 了 安全 漏洞 或 者 解决 了 配置 问题 以 后 ， 建 议 改 变 系统 中 所 有 账户 的 密码 。 
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10) 加 固 系统 和 网 络 的 安全 


(1) 根据 CERT 的 配置 指南 检查 系统 的 安全 性 。 

CERT 的 UNIX/NT 配置 指南 可 以 帮助 用 户 检查 系统 中 容易 被 入 侵 者 利用 的 配置 问题 。 
具体 可 查阅 以 下 两 个 网 络 资源 : 

http://www.cert.org/tech_tips/unix_configuration guidelines.html 

http://www.cert.org/tech_tips/win_configuration guidelines.html 

查阅 安全 工具 文档 可 以 参考 http://www.cert.org/tech_tips/security_tools.html。 

(2) 安装 安全 工具 。 在 将 系统 连接 到 网 络 上 之 前 ， 一 定 要 安装 所 有 选用 的 安全 工具 。 
同时 ， 最 好 使 用 Tripwire、aide 等 工具 对 系统 文件 进行 MD5 校 验 ， 把 校 验 码 放 到 安全 的 地 
方 ， 以 便 以 后 对 系统 进行 检查 。 

(3) 打开 日 志 。 启 动 日 志 (logging) /检查 (auditing) / 记 账 〈accounting) 程序 ， 将 它 
们 设置 到 准确 的 级 别 ， 例 如 sendmail 日 志 应 该 是 9 级 或 者 更 高 。 

要 经 常备 份 日 志文 件 ， 或 者 将 日 志 写 到 另外 的 计算 机 、 一 个 只 能 增加 的 文件 系统 或 者 
一 个 安全 的 日 志 主 机 。 

(4) 配置 防火 墙 对 网 络 进 行 防御 。 可 以 参考 http:/www.cert.org/tech_tips/packet_ 
filtering.html。 

(5) 重新 连接 到 Internet。 完 成 以 上 步骤 以 后 ， 就 可 以 把 系统 重新 连 入 Internet 了 。 

应 当 注 意 ， 安 全 事件 处 理工 作 复 杂 ， 责 任 重 大， 至 少 应 有 两 人 参加 。 

2. 灾难 恢复 级 别 

2007 年 7 月 ， 国 务 院 信息 化 工作 办 公 室 下 发 了 《信息 系统 灾难 恢复 规范 》， 并 于 2007 
年 11 月 1 日 开始 正式 实施 。 这 是 中 国 灾难 备份 与 恢复 行业 的 第 一 个 国家 标准 ， 也 是 各 行 各 
业 进 行 灾 备 建设 的 重要 参考 性 文件 。GB/T 20988 一 2007《 信 息 安 全 技术 信息 系统 灾难 恢复 
规范 》 将 灾难 恢复 能 力 划 分 为 如 图 5.1 所 示 的 6 级 。 

上 








等 级 六 : 数据 零 丢 失 和 远程 集群 支持 











等 级 五 : 实时 数据 传输 及 完整 设备 支持 
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图 5.1 信息 系统 灾难 恢复 级 别 


等 级 一 : 基本 支持 。 要 求 数据 备份 系统 能 够 保证 每 周至 少 进行 一 次 数据 备份 ， 备 份 介 
质 能 够 提供 场 外 存放 。 对 于 备用 数据 处 理 系统 和 备用 网 络 系统 ， 没 有 具体 要 求 。 
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等 级 二 : 备用 场地 支持 。 在 满足 等 级 一 的 条 件 基础 上 ， 要 求 配备 灾难 恢复 所 需 的 部 分 
数据 处 理 设备 ， 或 灾难 发 生 后 能 在 预定 时 间 内 调配 所 需 的 数据 处 理 设备 到 备用 场地 ， 要 求 
配备 部 分 通信 线路 和 相应 的 网 络 设备 ， 或 灾难 发 生 后 能 在 预定 时 间 内 调配 所 需 的 通信 线路 
和 网 络 设备 到 备用 场地 。 

等 级 三 : 电子 传输 和 设备 支持 。 要 求 每 天 至 少 进行 一 次 完全 数据 备份 ， 备 份 介质 场 外 
存放 ， 同 时 每 天 多 次 利用 通信 网 络 将 关键 数据 定时 批量 传送 至 备用 场地 。 配 备 灾难 恢复 所 
需 的 部 分 数据 处 理 设备 、 通 信 线 路 和 相应 的 网 络 设备 。 

等 级 四 : 电子 传输 及 完整 设备 支持 。 在 等 级 三 的 基础 上 ， 要 求 配置 灾难 恢复 所 需 的 所 
有 数据 处 理 设备 、 通 行 线路 和 相应 的 网 络 设备 ， 并 且 处 于 就 绪 或 运行 状态 。 

等 级 五 :实时 数据 传输 及 完整 设备 支持 。 除 要 求 每 天 至 少 进 行 一 次 完全 数据 备份 ， 备 
份 介质 场 外 存放 外 ， 还 要 求 采用 远程 数据 复制 技术 ， 利 用 通信 和 网络 将 关键 数据 实时 复制 到 
备用 场地 。 

等 级 六 : 数据 零 丢 失 和 远程 集群 支持 。 要 求实 现 远程 实时 备份 ， 数 据 零 丢失 ， 备 用 数 
据 处 理 系统 具备 与 生产 数据 处 理 系统 一 致 的 处 理 能 力 ， 应 用 软件 是 “集群 的 ” 可 实时 无 乡 
切换 。 

中 国 软 件 评测 中 心 信息 安全 专家 认为 ， 灾 难 恢复 能 力 等 级 越 高 ， 对 于 信息 系统 的 保护 
效果 越 好 ， 但 同时 成 本 也 会 急剧 上 升 。 因 此 ， 需 要 根据 成 本 风险 平衡 原则 〈 即 灾难 恢复 资 
源 的 成 本 与 风险 可 能 造成 的 损失 之 间 取 得 平衡 )， 确 定 业务 系统 的 合理 的 灾难 恢复 能 力 等 
级 。 对 于 多 个 业务 系统 ， 不 同业 务 可 采用 不 同 的 灾难 恢复 策略 。 

信息 系统 灾难 恢复 能 力 等 级 与 恢复 时 间 目 标 (CRTO ) 和 恢复 点 目标 (RPO) 具有 一 定 的 
对 应 关系 ， 各 行业 可 根据 行业 特点 和 信息 技术 的 应 用 情况 制定 相应 的 灾难 恢复 能 力 等 级 要 
求 和 指标 要 求 。 


5.1.5 ”信息 系统 应 急 演练 


信息 系统 突 发 事件 的 发 生 是 非常 随机 的 。 对 于 一 个 管理 健全 的 信息 系统 ， 突 发 事件 的 
发 生 概 率 极 低 。 但 是 一 旦 发 生 就 是 一 个 非常 大 的 灾难 。 这 时 ， 即 使 是 有 完美 的 应 急 预 案 ， 
也 会 因为 不 太 熟 练 或 手忙脚乱 ， 而 贻误 时 机 或 处 理 不 到 位 而 造成 系统 损失 。 因 此 ， 光 有 安 
全 管理 制度 、 应 急 领 导 组 织 和 应 急 预 案 还 是 不 够 ， 还 需要 通过 应 急 演 练 提高 应 急 处 理 的 响 
应 能 力 、 灾 难 恢复 能 力 和 处 置 能 力 。 

应 急 演练 一 般 包含 如 下 内 容 。 

(1) 明确 应 急 演练 的 指导 思想 。 

(2) 成 立 应 急 演 练 组 织 。 

(3) 制定 应 急 演练 方案 。 


1. 应 急 演练 的 指导 思想 


信息 系统 灾 备 演练 对 于 检验 信息 系统 灾难 恢复 预案 的 适用 性 、 有 效 性 ， 提 升 灾 备 系统 
的 实际 恢复 能 力 具 有 重要 意义 。 因 此 ， 应 急 演练 不 能 看 作 仅仅 是 演练 ， 而 应 该 当 作 一 次 实 
战 。 要 从 实战 出 发 ， 认 真 对 待 。 
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2. 应 急 演练 组 织 机 构 


应 急 演练 的 组 织 一 般 分 为 应 急 演练 指挥 部 和 应 急 演练 工作 组 。 

1) 应 急 演练 指挥 部 

应 急 演练 指挥 部 的 职责 是 ， 负责 信息 系统 突 发 事件 应 急 演练 的 指挥 、 组 织 协 调和 过 程 
控制 ， 向 上 级 部 门 报告 应 急 演练 进展 情况 和 总 结 报告 ， 确 保 演练 工作 达到 预期 目的 。 

2) 应 急 演 练 工 作 组 

应 急 演练 工作 组 的 职责 如 下 。 

(1) 负责 信息 系统 突 发 事件 应 急 演练 的 具体 工作 ， 对 信息 系统 突 发 事件 应 急 演练 业务 
影响 情况 进行 分 析 和 评估 。 

(2) 收集 分 析 信 息 系统 突 发 事件 应 急 演 练 处 置 过 程 中 的 数据 信息 和 记录 。 

(3) 向 应 急 指挥 部 报告 应 急 演练 进展 情况 和 事态 发 展 情况 。 

(4) 做 好 后 勤 保障 工作 ， 提 供应 急 演练 所 需 人 力 和 物力 等 资源 保障 。 

(5) 做 好 对 受 影响 客户 的 解释 和 安抚 工作 。 

(6) 做 好 秩序 维护 、 安 全 保障 支援 等 工作 。 

(7) 建立 与 电力 、 通 信 、 公 安 等 相关 外 部 机 构 的 应 急 演 练 协 调 机 制 和 应 急 演练 联动 
机 制 。 

(8) 其 他 为 降低 事件 负面 影响 或 损失 提供 的 应 急 支 持 保障 等 。 


3. 制定 演练 方案 


演练 方案 包含 如 下 内 容 。 
(1) 演练 时 间 。 

(2) 选 定 演练 目的 。 
(3) 确定 演练 内 容 。 


4. 演练 准备 工作 


(1) 组 织 员工 学 习 信息 安全 的 有 关 规范 和 本 组 织 的 信息 系统 突 发 事件 应 急 预 案 。 
(2) 提高 员工 对 于 突 发 事件 的 应 急 处 置 意 识 ， 熟 悉 在 突 发 事件 中 各 自 的 职责 和 任务 。 
(3) 明确 责任 ， 严 格 组 织 实施 演练 活动 ， 确 保 演练 活动 顺利 完成 ， 达 到 预期 效果 。 
(4) 制定 演练 详细 时 间 安 排 表 。 


5. 应 急 演练 的 实施 
根据 演练 方案 开展 演练 。 
6. 总 结汇 报 


演练 结束 后 ， 要 对 演练 进行 总 结 ， 对 演练 中 出 现 的 问题 要 及 时 上 报 并 进行 整改 。 
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5.2 ”数据 备份 、 数 据 容 错 与 数据 容 灾 


信息 系统 是 脆弱 的 ， 它 的 可 靠 性 不 断 遭 受 威胁 。 为 了 保证 系统 的 可 靠 性 ， 经 过 长 期 摸 
索 ， 人 们 总 结 出 了 3 条 途径 : 避 错 、 纠 错 和 容错 。 

避 错 是 完善 设计 和 人 制造， 试图 构造 一 个 不 会 发 生 故 障 的 系统 。 但 是 ， 这 是 不 太 现实 的 。 
任何 一 个 系统 都 会 有 丝 漏 。 因 此 ， 人 们 不 得 不 用 纠 错 作为 避 错 的 补充 。 一 旦 系统 出 现 故 障 ， 
可 以 通过 检测 和 核实 来 消除 ， 再 进行 系统 的 恢复 。 

容错 是 第 三 条 途径 。 其 基本 思想 是 ， 即 使 出 现 错误 ， 系 统 也 还 能 执行 一 组 规定 的 程序 。 
或 者 说 ， 程 序 不 会 因为 系统 中 的 故障 而 中 断 或 被 修改 ， 并 且 故 障 也 不 引起 执行 结果 的 差错 。 
或 者 简单 地 说 ， 容 错 就 是 系统 可 以 抵抗 错误 的 能 力 。 容 灾 是 针对 灾害 而 言 的 。 灾 害 对 系统 
危害 比 错误 要 大 、 要 严重 。 

5.2.1 数据 备份 

数据 备份 是 数据 容 灾 、 数 据 容错 和 数据 恢复 的 基本 保障 措施 。 

1. 数据 备份 的 概念 

为 了 清楚 备份 的 概念 ， 需 要 从 以 下 儿 个 方面 理 清 它 与 另外 一 个 意义 相近 的 术语 一 一 复 
制 之 间 的 关系 。 

1) 从 词 面 解 释 看 

“备份 ”对 应 的 英语 单词 是 backup， 它 在 英语 中 具有 支持 、 后 援 、 备 用 、 候 补 、 阻 塞 、 
伴奏 、 倒 退 、 衬 等 意思 。 复 制 对 应 的 英语 单词 是 copy， 它 在 英语 中 具有 复制 、 抄 写 、 模 仿 
等 意思 。 

从 汉语 方面 看 ， 备 份 就 是 准备 好 一 份 ， 以 便 必 要 时 应 急 。 所 以 它 是 基于 可 靠 或 安全 进行 
的 宛 余 性 保存 。 而 复制 是 照样 做 一 个 的 意思 ， 不 一 定 是 为 了 可 靠 与 安全 ， 也 许 还 有 别 的 目的 。 

2) 从 形式 上 看 

从 形式 上 看 ， 复 制 有 两 个 特点 。 

(1) 与 源 数据 内 容 完 全 相同 。 

(2) 与 源 数据 文件 格式 完全 相同 。 

而 备份 与 之 不 同 : 

(1) 不 一 定 是 全 部 ， 可 能 是 全 部 ， 也 可 能 是 一 部 分 ， 只 要 应 急 够 用 就 行 。 

(2) 格式 不 一 定 相 同 。 备 份 根据 备份 软件 的 不 同 ， 会 被 打包 成 不 同 的 备份 文件 格式 ， 
只 能 用 备份 软件 恢复 过 来 ,不 能 直接 使 用 。 多 数 备份 软件 〈 比 如 VERITAS NetBackup 软件 ) 
的 备份 格式 为 标准 的 TAR 格式 ， 也 就 是 磁带 的 格式 。 


2. 数据 备份 模式 
从 模式 看 ， 数 据 备份 可 以 分 为 逻辑 备份 和 物理 备份 。 
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1) 逻辑 备份 

逻辑 备份 也 称 为 “基于 文件 〈file-based) 的 备份 ”” 即 以 文件 为 单位 进行 复制 备份 。 这 
种 备份 ， 使 得 每 个 单独 的 文件 恢复 比较 简单 。 但 是 ， 一 个 文件 往往 可 能 由 分 散在 磁盘 上 的 
多 个 数据 块 连接 而 成 ; 文件 备份 需要 进行 文件 操作 ， 又 需要 对 数据 块 进行 操作 。 这 样 ， 对 
非 连续 存储 在 磁盘 上 的 文件 进行 备份 时 ， 需 要 额外 的 查找 操作 。 这 些 额外 的 查找 操作 会 增 
加 磁盘 开销 。 此 外 ， 即 使 文件 中 有 一 点 很 小 的 改变 ， 也 要 对 整个 文件 进行 一 次 备份 。 

2) 物理 备份 

物理 备份 也 称 为 “基于 块 (block-based) 的 备份 ”或 “基于 设备 〈device-based) 的 备 
份 ” 这 种 备份 以 数据 件 、 块 为 单位 进行 备份 ， 因 此 在 备份 过 程 中 ， 花 费 在 搜索 上 的 开销 很 
少 ， 可 以 提高 备份 的 性 能 。 但 是 在 恢复 时 必须 收集 文件 和 目录 的 信息 ， 要 知道 具体 的 数据 
块 是 以 什么 方式 组 织 到 文件 中 的 ， 因 此 恢复 的 效率 很 低 。 

3. 数据 备份 环境 


按照 环境 ， 备 份 可 以 是 冷 备 份 ， 也 可 以 是 热 备份 。 

1) 冷 备份 

冷 备份 也 称 为 离线 备份 或 脱 机 备份 ， 是 数据 库 已 经 正常 关闭 的 情况 下 将 关键 性 文件 复 
制 到 另外 位 置 的 备份 。 这 样 ， 可 以 很 好 地 解决 备份 选择 进行 时 并 发 数据 更 新 所 带 来 的 数据 
不 一 致 。 其 缺点 是 用 户 需 要 等 待 较 长 的 时 间 。 

2) 热 备 份 

热 备份 也 称 为 在 线 备份 或 同步 数据 备份 ， 是 在 数据 库 运 行 的 情况 下 ， 采 用 归档 模式 
(archivelog mode) 备份 数据 的 方法 。 采 用 这 种 备份 时 ， 用 户 不 需 等 待 ， 即 在 数据 更 新 时 也 
允许 数据 备份 ， 但 要 采用 文件 的 单独 写 /修改 特权 等 技术 措施 解决 数据 的 不 一 致 问题 。 

4. 数据 备份 的 策略 

数据 备份 策略 包括 备份 时 间 、 备 份 数据 种 类 和 故障 恢复 方式 等 。 下 面 介 绍 4 种 备份 
策略 。 

1) 完全 备份 

完全 备份 (full backup ) 指定 时 对 整个 系统 或 用 户 指定 的 所 有 文件 数据 进行 一 次 完全 的 
备份 。 例 如 ， 星 期 一 用 一 个 磁盘 〈 或 光盘 ) 对 整个 系统 进行 一 次 备份 ， 星 期 二 再 用 另 一 个 
磁盘 〈 或 光盘 ) 对 整个 系统 进行 一 次 备份 ， 以 此 类 推 。 这 种 备份 策略 比较 可 靠 ， 可 以 将 数 
据 恢 复 到 任何 一 次 备份 之 前 ， 但 不 能 保证 将 数据 恢复 到 灾难 之 前 。 并 且 ， 其 成 本 较 高 ， 需 
要 大 量 存储 空间 。 

2) 增 量 备份 

增 量 备份 (incremental backup) 只 备份 上 次 备份 后 作 过 更 新 的 文件 。 例 如 ， 星 期 一 先 用 
一 个 磁盘 〈 或 光盘 ) 进行 一 次 完全 备份 ， 星 期 二 则 只 备份 自 星期 一 备份 以 后 新 的 或 被 修改 
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过 的 数据 ， 星 期 三 只 备份 自 星期 二 备份 以 后 新 的 或 被 修改 过 的 数据 ， 以 此 类 推 。 这 种 备份 
使 系统 性 能 和 容量 可 以 得 到 很 好 的 改善 。 但 是 ， 一 旦 出 现 数据 故障 时 要 进行 数据 恢复 ， 不 
得 不 从 最 后 一 次 的 备份 向 前 进行 链 式 恢复 。 例 如 ， 星 期 四 出 现 故 障 ， 则 要 先 从 星期 一 的 备 
份 数据 开始 ， 用 星期 二 的 备份 恢复 出 星期 二 备份 之 前 的 数据 ， 再 以 此 为 基础 ， 用 星期 三 的 
备份 恢复 出 星期 三 备份 之 前 的 数据 。 若 其 中 任何 一 个 中 间 环 节 出 现 问题 ， 都 使 恢复 难于 继 
续 。 因 此 ， 这 种 模式 与 完全 备份 配合 使 用 效果 较 好 。 

3) 差别 备份 


差别 备份 〈differential backup ) 是 每 次 只 备份 上 次 全 盘 备 份 之 后 更 新 过 的 数据 。 例 如 ， 
星期 一 先 用 一 个 磁盘 〈 或 光盘 ) 进行 一 次 完全 备份 ， 以 后 每 天 只 备份 与 星期 一 的 备份 数据 
不 同 的 数据 部 分 。 这 样 ， 全 部 系统 只 需要 两 组 磁盘 或 光盘 〈 最 后 一 次 完全 备份 磁盘 或 光盘 
和 最 后 一 次 差别 备份 磁盘 或 光盘 ) 就 可 以 恢复 。 

4) 按 需 备份 

按 需 备份 是 指 在 正常 的 备份 之 外 ， 有 选择 地 进行 的 额外 备份 操作 例如 对 于 非常 关键 
的 数据 )。 按 需 分 配 可 以 弥补 元 余 管 理 或 长 期 转 储 的 日 常备 份 的 不 足 。 

5. 数据 备份 的 存储 

1) 直接 备份 

使 用 备份 软件 直接 备份 在 磁带 、 磁 盘 、 闪 存 、 光 盘 等 介质 上 。 

2) 网 络 备份 

网 络 备份 是 通过 网 络 进行 数据 备份 。 主 要 形式 有 如 下 几 种 。 

(1) 网 络 附加 存储 (Network Attached Storage，NAS)， 其 结构 如 图 5.2 所 示 ， 它 通过 在 
网 络 中 安装 一 种 只 负责 实现 文件 IO 操作 的 设施 , 把 任务 优化 的 存储 设备 直接 挂 在 网 上 , 使 
数据 的 存储 与 数据 的 处 理 相 分 离 : 文件 服务 器 只 用 于 数据 的 存储 ， 主 服务 器 只 用 于 数据 的 
处 理 。 
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(2) 存储 局 域 网 (Storage Area Network，SAN): 是 用 来 连接 服务 器 和 存储 装置 (大 容 
量 磁 盘 阵 列 和 备份 磁带 库 等 ) 的 专用 存储 网 络 。 如 图 5.3 所 示 ，SAN 的 连接 基于 固有 光纤 
通道 和 SCSI， 通 过 SCSI 到 光纤 通道 转换 器 和 网 关 ， 一 个 或 多 个 光纤 通道 交换 机 在 主 服务 
器 与 存储 设备 之 间 提 供 相 互 连 接 ， 形 成 一 种 特殊 的 高 速 网 络 。 如 果 把 LAN 作为 第 一 网 络 ， 
则 SAN 就 是 第 二 网 络 ， 它 置 于 LAN 之 下 ， 但 又 不 涉及 LAN 的 具体 操作 。 
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(3) 云 存储 : 即 云 计 算 的 数据 存储 技术 ， 它 具有 分 布 式 、 高 吞吐 率 、 大 元 余 和 高 传输 
率 的 特点 。 目 前 云 计 算 系 统 中 广泛 使 用 的 数据 存储 系统 是 Google 的 GFS (Google File 
System，Google 文件 系统 ， 非 开源 ) 和 Hadoop 团队 开发 的 GFS 的 开源 实现 HDFS (Hadoop 
Distributed File System)。 目 前 这 两 种 技术 已 经 成 为 事实 标准 。 

GFS 是 一 个 可 扩展 的 分 布 式 文件 系统 ， 用 于 大 型 的 、 分 布 式 的 、 对 大 量 数据 进行 访问 
的 应 用 。 一 个 GFS 集群 由 一 个 主 服 务 器 (master) 和 大 量 的 块 服务 器 (chunk server) 构成 ， 
并 被 许多 客户 (client) 访问 。 主 服务 器 存储 文件 系统 所 有 的 元 数据 〈 描 述 数据 的 数据 )， 包 
括 名 字 空 间 、 访 问 控制 信息 、 从 文件 到 块 的 映射 以 及 块 的 当前 位 置 。 它 也 控制 系统 范围 的 
活动 ， 如 块 租约 (lease) 管理 、 孤 儿 块 的 垃圾 收集 、 块 服务 器 间 的 块 迁移 。 主 服务 器 定期 
通过 HeartBeat 消息 与 每 一 个 块 服务 器 通信 ， 给 块 服务 器 传递 指令 并 收集 它 的 状态 。GFS 中 
的 文件 被 切 分 为 64MB 的 块 并 以 见 余 存储 ， 每 份 数据 在 系统 中 保存 3 个 以 上 备份 。 客 户 与 
主 服务 器 的 交换 只 限于 对 元 数据 的 操作 ， 所 有 数据 方面 的 通信 都 直接 和 块 服务 器 联系 ， 这 
大 大 提高 了 系统 的 效率 ， 防 止 主 服务 器 负载 过 重 。 


6. 数据 备份 关键 技术 


1) 镜像 技术 

通常 ， 镜像 (mirroring) 是 指 一 个 物体 对 于 一 个 镜面 的 重 现 。 在 计算 机 技术 中 ， 镜像 是 
一 种 宛 余 的 类 型 ， 是 数据 的 另 一 个 完全 相同 的 副本 。 

(1) 按照 存在 形式 ， 镜 像 可 以 分 为 磁盘 镜像 和 镜像 站 点 。 

磁盘 镜像 是 在 两 个 或 多 个 磁盘 或 磁盘 子 系统 上 产生 同一 个 数据 的 镜像 视图 的 信息 存储 
过 程 ， 即 一 个 磁盘 上 的 数据 在 另 一 个 磁盘 上 存在 一 个 完全 相同 的 副本 即 为 镜像 。RAID 1 和 
RAID 10 使 用 的 就 是 镜像 。 常 见 的 镜像 文件 格式 有 iso、bin、img、tao、dao、cif、fcd。 

镜像 站 点 指 某 个 网 站 存在 另 一 个 相关 内 容 完全 相同 的 网 站 。 

(2) 按照 存在 关系 ， 镜 像 系 统 有 主 从 之 分 。 

在 磁盘 镜像 系统 中 ， 要 将 一 个 磁盘 指定 为 主 磁盘 镜像 系统 ， 将 另 一 个 指定 为 从 磁盘 镜 
像 系 统 。 

在 镜像 站 点 系统 中 ， 则 将 一 台 服 务 器 被 指定 为 主 服务 器 ， 将 另 一 台 指 定 为 从 服务 器 。 
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客户 只 能 对 主 服务 器 上 的 镜像 的 卷 进行 读 写 ， 即 上 只 有 主 服务 器 通过 网 络 向 用 户 提供 服务 ， 
从 服务 器 上 相应 的 卷 被 锁定 以 防 对 数据 的 存 取 。 主 /从 服务 器 分 别 通过 心跳 监测 线路 互相 监 
测 对 方 的 运行 状态 ， 当 主 服务 器 因 故 障 停机 时 ， 从 服务 器 将 在 很 短 的 时 间 内 接管 主 服务 器 
的 应 用 。 

(3) 按 主 从 磁盘 镜像 存储 系统 所 处 的 位 置 ， 磁 盘 镜 像 可 分 为 本 地 镜像 和 远程 镜像 。 

本 地 镜像 是 在 本 机 的 磁盘 中 划分 主 镜像 区 和 从 镜像 区 。 远 程 镜像 又 称 为 远程 复制 ， 是 
通过 高 速 光 纤 通 道 线路 和 磁盘 控制 技术 将 镜像 磁盘 延伸 到 远离 本 地 机 的 地 方 ， 镜 像 磁盘 数 
据 与 主 磁盘 数据 完全 一 致 。 

(4) 按 请 求 镜像 的 主机 是 否 需 要 远程 镜像 站 点 的 确认 信息 ， 远 程 镜 像 又 可 分 为 同步 远 
程 镜 像 和 异步 远程 镜像 。 

同步 远程 镜像 〈 同 步 复 制 技术 ) 是 指 通过 远程 镜像 软件 ， 将 本 地 数据 以 完全 同步 的 方 
式 复制 到 异地 , 每 一 本 地 的 IO 事务 均 需 等 待 远程 复制 的 完成 确认 信息 , 方 予 以 释放 。 同 步 
镜像 使 复制 总 能 与 本 地 机 要 求 复制 的 内 容 相 匹配 。 当 主 站 点 出 现 故 障 时 ， 用 户 的 应 用 程序 
切换 到 备份 的 替代 站 点 后 ， 被 镜像 的 远程 副本 可 以 保证 业务 继续 执行 而 没有 数据 的 丢失 。 
但 它 存在 往返 传播 造成 延 时 较 长 的 缺点 ， 只 限于 在 相对 较 近 的 距离 上 应 用 。 

异步 远程 镜像 (异步 复制 技术 ) 保证 在 更 新 远程 存储 视图 前 完成 向 本 地 存储 系统 的 基 
本 操作 , 而 由 本 地 存储 系统 提供 给 请 求 镜像 主机 的 VO 操作 完成 确认 信息 。 远程 的 数据 复制 
是 以 后 台 同 步 的 方式 进行 的 , 这 使 本 地 系统 性 能 受到 的 影响 很 小 , 传输 距离 长 (可 达 1000km 
以 上 )， 对 网 络 带 宽 要 求 低 。 但 是 ， 许 多 远程 的 从 属 存 储 子 系统 的 写 没 有 得 到 确认 ， 当 某 种 
因素 造成 数据 传输 失败 ， 可 能 出 现 数据 一 致 性 问题 。 为 了 解决 这 个 问题 ， 目 前 大 多 采用 延 
述 复 制 的 技术 本 地 数据 复制 均 在 后 台 日 志 区 进行 )， 即 在 确保 本 地 数据 完好 无 损 后 进行 远 
程 数 据 更 新 。 

2) 存储 快照 技术 


快照 (snapshot) 是 通过 软件 对 磁盘 子 系统 中 的 数据 快速 扫描 ， 为 要 备份 数据 在 某 个 时 
间 点 上 建立 的 映像 ， 这 个 映像 由 快照 逻辑 单元 号 LUN》 和 快照 高 速 缓 存 组 成 。 快 照 LUN 
是 一 组 指针 ， 它 指向 快照 高 速 缓存 和 磁盘 子 系统 中 不 变 的 数据 块 〈 在 备份 过 程 中 )。 在 快速 
扫描 时 ， 把 备份 过 程 中 即将 要 修改 的 数据 块 同 时 快速 复制 到 快照 高 速 缓存 中 。 

快照 能 够 进行 在 线 数据 备份 与 恢复 。 当 存储 设备 发 生 应 用 故障 或 者 文件 损坏 时 可 以 进 
行 快 速 的 数据 恢复 ， 将 数据 恢复 至 某 个 可 用 的 时 间 点 的 状态 。 在 正常 业务 进行 的 同时 ， 利 
用 快照 LUN 实现 对 原 数据 的 一 个 完全 的 备份 。 它 可 使 用 户 在 正常 业务 不 受 影响 的 情况 下 ( 主 
要 指 容 灾 备 份 系统 )， 实 时 提取 当前 在 线 业务 数据 。 

快照 的 另 一 个 作用 是 为 存储 用 户 提供 另外 一 个 数据 访问 通道 ， 当 原 数据 进行 在 线 应 用 
处 理 时 ， 用 户 可 以 访问 快照 数据 ， 还 可 以 利用 快照 进行 测试 等 工作 。 由 于 其 “备份 窗口 ” 
接近 于 零 ， 可 大 大 增加 系统 业务 的 连续 性 ， 为 实现 系统 真正 的 7X24 小 时 运转 提供 了 保证 。 
所 有 存储 系统 ， 不 论 高 中 低 端 ， 只 要 应 用 于 在 线 系统 ， 那 么 快照 就 成 为 一 个 不 可 或 缺 的 
功能 。 

远程 镜像 技术 往往 同 快照 技术 结合 起 来 实现 远程 备份 ， 即 通过 镜像 把 数据 备份 到 远程 
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存储 系统 中 ， 再 用 快照 技术 把 远程 存储 系统 中 的 信息 备份 到 远程 的 磁带 库 、 光 盘 库 中 。 

3) 互 连 技术 

早期 的 主 数据 中 心 和 备 援 数据 中 心 之 间 的 数据 备份 ,主要 是 基于 SAN (存储 区 域 网 络 ) 
的 远程 复制 (镜像 )， 即 通过 光纤 通道 (FC), 把 两 个 SAN 连接 起 来 , 进行 远程 镜像 (复制 )。 
当 灾 难 发 生 时 ， 由 备 援 数据 中 心 奉 代 主 数据 中 心 保 证 系统 工作 的 连续 性 。 但 是 由 于 这 种 远 
程 容 灾 备份 方式 存在 实现 成 本 高 、 设 备 的 互 操作 性 差 、 跨 越 的 地 理 距 离 短 (10km) 等 因素 ， 
阻碍 了 它 的 进一步 推广 和 应 用 。 

目前 出 现 了 多 种 基于 IP 的 SAN 的 远程 数据 容 灾 备份 技术 。 它们 是 利用 基于 IP 的 SAN 
的 互 连 协议 ,将 主 数据 中 心 SAN 中 的 信息 通过 现 有 的 TCP/IP 网 络 远程 复制 到 备 援 中 心 SAN 
中 。 当 备 援 中 心 存 储 的 数据 量 过 大 时 ， 可 利用 快照 技术 将 其 备份 到 磁带 库 或 光盘 库 中 。 这 
种 基于 IP 的 SAN 的 远程 容 灾 备份 ， 可 以 跨越 LAN、MAN 和 WAN， 成 本 低 ， 可 扩展 性 好 ， 
具有 广阔 的 发 展 前 景 。 基 于 人 P 的 互 连 协议 包括 FCIP、iFCP、Infiniband 和 iSCSI 等 。 

4) 虚拟 存储 

虚拟 存储 就 是 把 多 个 存储 介质 模块 (如 硬盘 、RAID) 通过 一 定 的 手段 集中 在 一 个 存储 
池 (storage pool) 中 进行 统一 管理 。 这 样 ， 从 主机 的 角度 看 到 的 就 不 是 多 个 人 硬盘， 而 是 一 个 
分 区 或 者 卷 。 从 拓扑 结构 来 讲 ， 虚 拟 存储 主要 有 两 种 方式 ， 对 称 式 虚 拟 存 储 和 非 对 称 式 虚 
拟 存储 。 对 称 虚拟 存储 有 如 下 优点 。 

(1) 采用 大 容量 高 速 缓存 ， 可 以 显著 提高 数据 传输 速度 。 

(2) 采用 多 端口 并 行 技 术 ， 可 以 消除 IO 瓶颈 。 

(3) 其 逻辑 存储 单元 提供 了 高 速 的 磁盘 访问 速度 。 

(4) 成 对 的 存储 池 具 有 很 好 的 容错 性 能 。 
5.2.2 ”数据 容错 技术 


容错 (Fault Tolerant，FT) 就 是 当 由 于 种 种 原因 在 系统 中 出 现 了 数据 、 文 件 损坏 或 丢失 
时 ， 系 统 能 够 自动 将 这 些 损坏 或 丢失 的 文件 和 数据 恢复 到 发 生 事故 以 前 的 状态 ， 使 系统 能 
够 连续 正常 运行 的 技术 。 

目前 ， 广 泛 采 用 的 数据 容错 技术 有 以 下 几 种 。 


1. 双重 文件 分 配 表 和 目录 表 技 术 


硬盘 上 的 文件 分 配 表 和 目录 表 存 放 着 文件 在 硬盘 上 的 位 置 和 文件 大 小 等 信息 ， 如 果 它 
们 出 现 故障 ， 数 据 就 会 丢失 或 误 存 到 其 他 文件 中 。 通 过 提供 两 份 同样 的 文件 分 配 表 和 目录 
表 ， 把 它们 存放 在 不 同 的 位 置 ， 一 且 某 份 出 现 故障 ， 系 统 将 做 出 提示 ， 从 而 达到 容错 的 目的 。 


2. 快速 磁盘 检修 技术 


这 种 方法 是 在 把 数据 写 入 硬盘 后 ， 马 上 从 硬盘 中 把 刚 写 入 的 数据 读 出 来 与 内 存 中 的 原 
始 数据 进行 比较 。 如 果 出 现 错误 ， 则 利用 在 硬盘 内 开设 的 一 个 被 称 为 “ 热 定位 重 定 区 ”的 
区 ， 将 硬盘 坏 区 记录 下 来 ， 并 将 已 确定 的 在 坏 区 中 的 数据 用 原始 数据 写 入 热 定位 重 定 区 上 。 
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3. 磁盘 镜像 技术 


盘 镜 像 是 在 同一 存储 通道 上 装 有 成 对 的 两 个 磁盘 驱动 器 ， 分 别 驱动 原 盘 和 副 盘 ， 两 
个 盘 串 行 交替 工作 ， 当 原 盘 发 生 故 障 时 ， 副 盘 仍 旧 正 常 工作 ， 从 而 保证 了 数据 的 正确 性 。 


4. 双 工 磁盘 技术 


它 是 在 网 络 系统 上 建立 起 两 套 同 样 的 且 同 步 工作 的 文件 服务 器 ， 如 果 其 中 一 个 出 现 故 
障 ， 另 一 个 将 立即 自动 投入 系统 ， 接 替 发 生 故 障 的 文件 服务 器 的 全 部 工作 。 


5. 事务 跟踪 系统 


网 络 操作 系统 具有 完备 的 事务 跟踪 系统 ， 这 是 针对 数据 库 和 多 用 户 软件 的 需要 而 设计 
的 ， 用 以 保证 数据 库 和 多 用 户 应 用 软件 在 全 部 处 理工 作 还 没有 结束 时 ， 或 者 在 工作 站 或 服 
务 器 发 生 突然 损坏 的 情况 下 ， 能 够 保持 数据 的 一 致 。 其 工作 方式 是 : 对 指定 的 事务 (操作 ) 
要 么 一 次 完成 ， 要 么 什么 操作 也 不 进行 。 


6. 负载 均衡 


负载 均衡 (load balance) 就 是 将 一 个 任务 分 解 成 多 个 子 任务 ， 分 配给 不 同 的 服务 器 执 
行 ， 通 过 减少 每 个 部 件 的 工作 量 ， 增 加 系统 的 稳定 性 。 通 常 ， 负 载 均衡 会 根据 网 络 的 不 同 
层次 (网 络 七 层 ) 来 划分 。 其 中 ， 第 二 层 的 负载 均衡 指 将 多 条 物理 链 路 当 作 一 条 单一 的 聚 
合 逻 辑 链 路 使 用 ， 这 就 是 链 路 聚合 (trunking) 技术 ， 它 不 是 一 种 独立 的 设备 ， 而 是 交换 机 
等 网 络 设备 的 常用 技术 。 现 代 负 载 均衡 技术 通常 操作 于 网 络 的 第 四 层 或 第 七 层 ， 它 完全 脱 
离 交 换 机 、 服 务 器 而 成 为 独立 的 技术 设备 。 

7. LOCKSTEP 技术 


LOCKSTEP 技术 使 用 相同 的 、 宛 余 的 硬件 组 件 在 同一 时 间 内 处 理 相 同 的 指令 。 它 可 以 
保持 多 个 CPU、 内 存 精确 的 同步 ， 在 相同 时 钟 周期 内 执行 相同 的 指令 ; read 
错误 ， 即 使 短暂 的 错误 ， 系 统 也 能 在 不 间断 处 理 和 不 损失 数据 的 情况 下 恢复 正常 运 


8. 安全 故障 (FAILSAFE ) 软件 


FAILSAFE 可 以 管理 和 诊断 特征 ， 捕获、 分 析 和 通报 服务 器 的 软件 问题 ， 从 而 允许 个 人 
在 软件 发 生 错 误 之 前 去 纠正 错误 。FAILSAFE 软件 通过 下 列 功能 来 增强 Windows 环境 中 的 
可 靠 性 。 

(1) 保护 短暂 的 硬件 故障 。 

(2) 通过 增强 的 驱动 程序 预防 软件 失效 。 

(3) 软件 问题 的 捕获 、 分 析 及 修正 。 

(4) 内 存 数据 的 连续 性 维持 。 

(5) 丰富 的 纠 错 功 能 可 以 解决 各 种 不 同 的 错误 。 

(6) 自动 重启 功能 ， 能 够 将 宕 机 前 CPU 与 内 存 数据 即时 保存 下 来 。 

FAILSAFE 软件 在 Windows 2000/2003 环境 下 采用 热 插 拔 、 内 存 镜 像 、 负 载 均 衡 、 多 点 
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终止 失效 、 多 通道 IO 等 方式 ， 大 大 增强 了 系统 连续 运行 的 稳定 性 。 
9. 服务 器 容错 技术 


服务 器 容错 技术 的 出 现 极 大 地 降低 了 企业 业务 在 各 种 不 可 预料 灾难 发 生 时 的 损失 ， 保 
证 业务 系统 的 7X24 小 时 不 间断 运转 。 常 用 的 服务 器 容错 技术 有 下 列 一 些 。 

(1) 双 机 热 备 (hot standby): 通过 系统 见 余 的 方法 解决 计算 机 应 用 系统 的 可 靠 性 问题 ， 
并 具有 安装 维护 简单 、 稳 定 可 靠 、 监 测 直 观 等 优点 。 

(2) 服务 器 集群 (cluster); 服务 器 集群 是 通过 将 多 台 服 务 器 互 连 在 一 起 而 形成 的 ， 以 
松散 的 成 对 配置 共享 资源 ， 具 有 一 定 的 自我 修正 能 力 ， 可 以 保证 系统 7X24 小 时 不 间断 运 
行 ， 把 非 计划 和 计划 的 停机 时 间 降 到 最 低 。 在 确保 高 可 用 性 方面 ， 服 务 器 集群 堪 称 最 具 价 
值 的 系统 级 技术 之 一 。 

(3) SAN: 人 允许 服务 器 在 共享 存储 装置 的 同时 仍 能 高 速 传送 数据 ， 具 有 带宽 高 、 可 用 
性 高 、 容 错 能 力 强 的 优点 ， 而 且 它 可 以 轻松 升级 ， 容 易 管 理 ， 有 助 于 改善 整个 系统 的 总 体 
成 本 状况 。 


5.2.3 ”数据 容 灾 系统 


真正 的 数据 容 灾 就 是 要 能 在 灾难 发 生 时 全 面 、 及 时 地 恢复 整个 系统 。 在 系统 遭受 灾害 
时 ， 使 系统 还 能 工作 或 尽快 恢复 工作 的 最 基础 的 工作 是 数据 备份 。 对 于 一 个 容 灾 系 统 ， 如 
果 没 有 备份 的 数据 ， 任 何 容 灾 方 案 都 没有 现实 意义 。 


1. 衡量 容 灾 的 两 个 技术 指标 


从 技术 上 看 ， 衡 量 容 灾 系 统 有 两 个 主要 指标 一 一 RPO 和 RTO。 

数据 恢复 点 目标 (Recovery Point Object，RPO) 主要 指 的 是 业务 系统 所 能 容忍 的 数据 
丢失 量 ， 代 表 了 当 灾 难 发 生 时 允许 丢失 的 数据 量 。 

恢复 时 间 目 标 (Recovery Time Object，RTO) 主要 指 的 是 所 能 容忍 的 业务 停止 服务 的 
最 长 时 间 ， 代 表 了 系统 恢复 的 时 间 ， 也 就 是 从 灾难 发 生 到 业务 系统 恢复 服务 功能 所 需要 的 
最 短 时 间 周 期 。 

所 以 ，RPO 针对 的 是 数据 丢失 ， 而 RTO 针对 的 是 服务 停止 ， 两 者 没有 必然 的 关联 性 。 
RTO 和 RPO 的 确定 必须 在 进行 风险 分 析 和 业务 影响 分 析 后 根据 不 同 的 业务 需求 确定 。 对 于 
不 同 企业 的 同一 种 业务 ，RTO 和 RPO 的 需求 也 会 有 所 不 同 。 


2. 容 灾 必须 满足 的 3R 


真正 的 容 灾 必须 满足 3R。 

(1) Redundance， 即 系统 中 的 部 件 、 数 据 都 具有 “元 余 性 ” 即 一 个 系统 发 生 故 障 ， 另 
一 个 系统 能 够 保持 数据 传送 的 顺畅 。 

(2) Remote， 即 具有 “长 距离 性 ”。 因 为 灾害 总 是 在 一 定 范围 内 发 生 ， 因 而 充分 长 的 距 
离 才 能 够 保证 数据 不 会 被 一 个 灾害 全 部 破坏 。 

(3) Replication， 容 灾 系 统 要 追求 全 方位 的 数据 “备份 >， 也 称 为 容 灾 性 。 
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3. 确定 容 灾 备 份 技术 方案 的 因素 


根据 国际 标准 SHARE 78 的 定义 ， 确 定 灾难 备份 技术 方案 应 主要 考虑 如 下 8 个 方面 。 
(1) 备份 /恢复 的 范围 。 

(2) 灾难 恢复 计划 的 状态 。 

(3) 应 用 站 点 与 灾难 备份 站 点 之 间 的 距离 。 

(4) 应 用 站 点 与 灾难 备份 站 点 之 间 是 如 何 相互 连接 的 。 

(5) 数据 是 怎样 在 两 个 站 点 之 间 传 送 的 。 

(6) 允许 有 多 少数 据 被 丢失 。 

(7) 怎样 保证 更 新 的 数据 在 灾难 备份 站 点 被 更 新 。 

(8) 灾难 备份 站 点 可 以 开始 灾难 备份 工作 的 能 力 。 


4. 七 级 容 灾 系统 等 级 


按照 以 上 考虑 因素 ， 国 际 标准 SHARE 78 将 容 灾 系 统 定义 成 如 下 7 个 层次 。 

1) 0 级 : 无 异地 备份 

在 这 种 容 灾 方案 中 ， 最 常用 的 是 备份 管理 软件 加 上 磁带 机 ， 可 以 手工 加 载 磁带 机 或 自 
动 加载 磁 带 机 。 其 特点 是 用 户 投资 较 少 ， 技 术 实 现 简单 。 缺 点 是 一 旦 本 地 发 生 毁 灭 性 灾难 ， 
将 丢失 全 部 的 本 地 备份 数据 ， 业 务 无 法 恢复 ， 所 以 不 具备 真正 的 灾难 恢复 能 力 。 

2) 1 级 : 实现 异地 备份 

这 种 方案 是 将 关键 数据 备份 到 本 地 磁带 介质 上 ， 然 后 送 往 异 地 保存 ， 但 异地 没有 可 用 
的 备份 中 心 、 备 份 数据 处 理 系统 和 备份 网 络 通信 系统 ， 未 制订 灾难 恢复 计划 。 灾 难 发 生 后 ， 
使 用 新 的 主机 ， 利 用 异地 数据 备份 介质 〈 磁 带 ) 将 数据 恢复 起 来 。 这 种 方案 成 本 较 低 ， 但 
难以 管理 ， 即 很 难 知 道 什 么 数据 在 什么 地 方 ， 恢 复 时 间 长 短 依赖 于 何 时 硬件 平台 能 够 被 提供 
和 准备 好 。 目 前 ， 这 一 等 级 方案 在 许多 中 小 网 站 和 中 小 企业 用 户 中 采用 较 多 。 

3) 2 级 : 热 备份 站 点 备份 

这 种 方案 是 将 关键 数据 进行 备份 并 存放 到 异地 ， 制 订 有 相应 灾难 恢复 计划 ， 具 有 热 备 
份 能 力 的 站 点 灾难 恢复 。 一 旦 发 生 灾 难 ， 利 用 热 备份 主机 系统 将 数据 恢复 。 由 于 有 了 热 备 
中 心 ， 用 户 投 资 会 增加 ， 相 应 的 管理 人 员 要 增加 。 技 术 实现 简单 ， 利 用 异地 的 热 备份 系统 ， 
可 以 在 本 地 发 生 毁 灭 性 灾难 后 ， 快 速 进行 业务 恢复 。 但 这 种 容 灾 方案 由 于 备份 介质 是 采用 
交通 运输 方式 送 往 异地 ， 异 地 热 备 中 心 保存 的 数据 是 上 一 次 备份 的 数据 ， 可 能 会 有 儿 天 其 
至 儿 周 的 数据 丢失 。 这 对 于 关键 数据 的 容 灾 是 不 能 容忍 的 。 

4) 3 级 : 在 线 数据 恢复 

这 种 方案 制订 有 相应 灾难 恢复 计划 ， 有 备份 中 心 ， 配 备 有 部 分 数据 处 理 系统 及 网 络 通 
信 系 统 ， 并 通过 网 络 将 关键 数据 进行 备份 并 存放 至 异地 ， 一 旦 灾难 发 生 ， 需 要 的 关键 数据 
通过 网 络 可 迅速 恢复 ， 通 过 网 络 切换 ， 关 键 应 用 恢复 时 间 可 降低 到 一 天 或 小 时 级 。 但 由 于 
备份 站 点 要 保持 持续 运行 ， 对 网 络 的 要 求 较 高 ， 因 此 成 本 相应 有 所 增加 。 
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5) 4 级 : 定时 数据 备份 

这 一 方案 是 在 第 3 级 容 灾 方 案 的 基础 上 ， 利 用 备份 管理 软件 自动 通过 通信 网 络 将 部 分 
关键 数据 定时 备份 至 异地 ， 并 制订 相应 的 灾难 恢复 计划 ; 异地 热 备 中 心 保存 的 数据 是 定时 
备份 的 数据 ， 根 据 备份 策略 的 不 同 ， 数 据 的 丢失 与 恢复 时 间 达 到 天 或 小 时 级 。 一 旦 灾难 发 
生 ， 利 用 热 备 中 心 已 有 资源 及 异地 备份 数据 恢复 关键 业务 系统 运行 。 但 投入 成 本 也 会 增加 。 

6) 5 级 : 实时 数据 备份 

这 一 容 灾 方 案 在 前 面 儿 个 级 别 的 基础 上 使 用 了 硬件 的 镜像 技术 和 软件 的 数据 复制 技 
术 ， 也 就 是 说 ， 可 以 实现 在 应 用 站 点 与 备份 站 点 的 数据 都 被 更 新 。 数 据 在 两 个 站 点 之 间 相 
互 镜 像 ， 由 远程 异步 提交 来 同步 ， 因 为 关键 应 用 使 用 了 双重 在 线 存储 ， 所 以 在 灾难 发 生 时 ， 
仅仅 很 小 部 分 的 数据 被 丢失 ， 恢 复 的 时 间 被 降低 到 了 分 钟 级 或 秒 级 。 由 于 对 存储 系统 和 数 
据 复制 软件 的 要 求 较 高 ， 所 需 成 本 也 大 大 增加 。 

7) 6 级 : 零 数 据 技 失 

第 6 级 容 灾 方 案 是 灾难 恢复 中 最 昂贵 的 方式 ， 也 是 速度 最 快 的 恢复 方式 ， 它 是 灾难 恢 
复 的 最 高 级 别 ， 利 用 专用 的 存储 网 络 将 关键 数据 同步 镜像 至 备份 中 心 ， 数 据 不 仅 在 本 地 进 
行 确认 ， 而 且 需 要 在 异地 备份) 进行 确认 。 因 为 ， 数 据 是 镜像 地 写 到 两 个 站 点 ， 所 以 灾 
难 发 生 时 异地 容 灾 系 统 保留 了 全 部 的 数据 ， 实 现 零 数据 丢失 。 

这 7 个 层次 对 应 的 容 灾 方案 在 功能 、 适 用 范围 等 方面 都 有 所 不 同 ， 所 以 用 户 在 选 型 时 
应 分 清 层 次 。 

5. 简化 的 容 灾 系统 等 级 

由 于 上 述 7 层 比较 复杂 ， 人 们 常 简化 为 如 下 4 个 等 级 。 

1) 第 0 级 : 没有 备 援 中 心 

这 一 级 容 灾 备份 实际 上 没有 灾难 恢复 能 力 ， 它 只 在 本 地 进行 数据 备份 ， 并 且 被 备份 的 
数据 只 在 本 地 保存 ， 没 有 送 往 异 地 。 

2) 第 1 级 : 本 地 磁带 备份 ， 异 地 保存 

在 本 地 将 关键 数据 备份 ， 然 后 送 到 异地 保存 。 灾 难 发 生 后 ， 按 预定 数据 恢复 程序 恢复 
系统 和 数据 。 这 种 方案 成 本 低 、 易 于 配置 。 但 当 数 据 量 增 大 时 ， 存 在 存储 介质 难 管理 的 问 
题 ， 并 且 当 灾难 发 生 时 存在 大 量 数据 难以 及 时 恢复 的 问题 。 为 了 解决 此 问题 ， 灾 难 发 生 时 ， 
先 恢复 关键 数据 ， 后 恢复 非 关 键 数据 。 

3) 第 2 级 : 热 备 份 站 点 备份 

在 异地 建立 一 个 热 备 份 点 ， 通 过 网 络 进行 数据 备份 。 也 就 是 通过 网 络 以 同步 或 异步 方 
式 ， 把 主 站 点 的 数据 备份 到 备份 站 点 ， 备 份 站 点 一 般 只 备份 数据 ， 不 承担 业务 。 当 出 现 灾 
难 时 ， 备 份 站 点 接替 主 站 点 的 业务 ， 从 而 维护 业务 运行 的 连续 性 。 

4) 第 3 级 : 活动 备 援 中 心 

在 相隔 较 远 的 地 方 分 别 建立 两 个 数据 中 心 ， 它 们 都 处 于 工作 状态 ， 并 进行 相互 数据 备 
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份 。 当 某 个 数据 中 心 发 生 灾难 时 ， 另 一 个 数据 中 心 接替 其 工作 任务 。 这 种 级 别 的 备份 根据 
实际 要 求 和 投入 资金 的 多 少 ， 又 可 分 为 两 种 : 中 两 个 数据 中 心 只 限于 关键 数据 的 相互 备份 ; 
@ 两 个 数据 中 心 互 为 镜像 ， 即 零 数 据 丢 失 等 。 零 数据 丢失 是 目前 要 求 最 高 的 一 种 容 灾 备份 
方式 ， 它 要 求 不 管 什么 灾难 发 生 ， 系 统 都 能 保证 数据 的 安全 。 所 以 ， 它 需要 配置 复杂 的 管 
理 软件 和 专用 的 硬件 设备 ， 需 要 的 投资 相对 而 言 是 最 大 的 ， 但 恢复 速度 也 是 最 快 的 。 


6. 容 灾 方案 


目前 有 很 多 种 容 灾 技 术 ， 分 类 也 比较 复杂 。 但 总 体 上 可 以 区 分 为 离线 式 容 灾 ( 冷 容 灾 ) 
和 在 线 容 灾 ( 热 容 灾 ) 两 种 类 型 。 

1) 离线 式 容 灾 ( 冷 容 灾 ) 

离线 式 容 灾 主 要 依靠 备份 技术 来 实现 。 其 重要 步骤 是 ,将 数据 通过 备份 系统 备份 到 磁 
带 上 面 ， 然 后 将 磁带 运送 到 异地 保存 管理 。 这 种 方式 主要 由 备份 软件 来 实现 备份 和 磁带 的 
管理 ， 除 了 磁带 的 运送 和 存放 外 ， 其 他 步骤 可 实现 自动 化 管理 。 整 个 方案 的 部 署 和 管理 比 
较 简单 ， 相 应 的 投资 也 较 少 。 但 缺点 也 比较 明显 ， 由 于 采用 磁带 存放 数据 ， 所 以 数据 恢复 
较 慢 , 而 且 备 份 窗口 内 的 数据 都 会 丢失 , 实时 性 比较 差 。 对 于 资金 受 限 、 对 数据 恢复 的 RTO 
和 RPO 要 求 较 低 的 用 户 可 以 选择 这 种 方式 。 

2) 在 线 式 容 灾 〈 热 容 灾 ) 

在 线 式 容 灾 要 求 用 户 工作 中 心 和 灾 备 中 心 同时 工作 ， 用 户 工作 中 心 和 灾 备 中 心 之 间 有 
传输 链 路 连接 。 数 据 自用 户 工作 中 心 实时 复制 传送 到 灾 备 中 心 。 在 此 基础 上 ， 可 以 在 应 用 
层 进行 集群 管理 ， 当 用 户 工作 中 心 遭受 灾难 、 出 现 故障 时 ， 可 由 灾 备 中 心 自 动 接管 并 继续 
提供 服务 。 应 用 层 的 管理 一 般 由 专门 的 软件 来 实现 ， 可 以 代替 管理 员 实 现 自动 管理 。 由 上 
面 分 析 可 见 ， 实 现在 线 式 容 灾 的 关键 是 数据 的 复制 。 

7. 在 线 式 容 灾 的 数据 复制 方式 

数据 复制 的 技术 有 很 多 ， 从 实现 复制 功能 的 设备 分 布 上 可 大 体 分 为 3 层 ， 服 务 器 层 、 
存储 交换 机 层 和 存储 层 。 

1) 服务 器 层 

在 用 户 工作 中 心 和 灾 备 中 心 的 服务 器 上 安装 专用 的 数据 复制 软件 ， 以 实现 远程 复制 功 
能 。 两 中 心间 必须 有 网 络 连接 作为 数据 通道 。 可 以 在 服务 器 层 增 加 应 用 远程 切换 功能 软件 ， 
从 而 构成 完整 的 应 用 级 容 灾 方案 。 这 种 数据 复制 方式 相对 投入 较 少 ， 主 要 是 软件 的 采购 成 
本 。 另 外 ， 其 兼容 性 较 好 ， 可 以 兼容 不 同 品牌 的 服务 器 和 存储 设备 ， 较 适合 硬件 组 成 复杂 
的 用 户 。 但 这 种 方式 要 在 服务 器 上 运行 软件 ， 不 可 避免 地 对 服务 器 性 能 产生 影响 。 

2) 存储 交换 机 层 

存储 交换 机 技术 的 发 展 使 交换 机 可 以 实现 更 多 的 功能 ， 很 多 原来 由 服务 器 和 存储 设备 
实现 的 功能 现在 也 可 在 交换 机 层 实现 ， 例 如 存储 虚拟 化 。 由 于 交换 机 可 以 管理 和 复制 的 数 
据 是 存放 在 存储 层 的 ， 因 此 用 户 需要 将 数据 都 存储 在 交换 机 所 连接 的 存储 设备 中 ， 这 样 就 
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可 以 实现 交换 机 对 数据 的 管理 和 复制 。 目 前 采用 这 种 方案 的 用 户 比 较 少 。 

3) 存储 层 

远程 数据 复制 功能 几乎 是 现 有 中 高 端 产品 的 必 备 功能 。 要 实现 数据 的 复制 ， 需 要 在 用 
户 工 作 中 心 和 灾 备 中 心 都 部 署 一 套 这 样 的 存储 系统 ， 数 据 复制 功能 由 存储 系统 实现 。 距 离 
比较 近 〔 几 十 千 米 之 内 ) 时 ， 之 间 的 链 路 可 由 两 中 心 的 存储 交换 机 通过 光纤 直接 连接 ; 距 
离 在 200km 内 时 ， 可 通过 增加 DWDM 等 设备 直接 进行 光纤 连接 ; 距离 超过 200km， 则 可 
增加 存储 路 由 器 进行 协议 转换 ， 途 经 WAN 或 Internet 实现 连接 。 因 此 ， 从 理论 上 可 实现 无 
限制 连接 。 在 存储 层 实 现 数据 复制 功能 是 很 成 熟 的 技术 ， 而 且 对 应 用 服务 器 的 性 能 基本 没 
有 影响 。 在 应 用 层 增 加 远程 集群 软件 后 就 可 以 实现 自动 灾难 切换 的 整体 容 灾 解 决 方案 。 这 
种 容 灾 方案 稳定 性 高 ， 对 服务 器 性 能 基本 无 影响 ， 是 目前 容 灾 方 案 的 主流 选择 。 


8. 灾难 检测 技术 


对 于 一 个 容 灾 系统 来 讲 ， 在 灾难 发 生 时 ， 尽 早 地 发 现 生产 系统 端的 灾难 ， 尽 快 地 恢复 
生产 系统 的 正常 运行 或 者 尽快 地 将 业务 迁移 到 备用 系统 上 ， 都 可 以 将 灾难 造成 的 损失 降低 
到 最 低 。 除 了 依靠 人 力 来 对 灾难 进行 确定 之 外 ， 对 于 系统 意外 停机 等 灾难 还 需要 容 灾 系统 
能 够 自动 地 检测 灾难 的 发 生 ， 目 前 容 灾 系 统 的 检测 技术 一 般 采 用 心跳 技术 。 

心跳 技术 的 一 个 实现 是 : 生产 系统 在 空闲 时 每 隔 一 段 时 间 向 外 广播 一 下 自身 的 状态 ; 
检测 系统 在 收 到 这 些 “ 心 跳 信号 ”之 后 ， 便 认为 生产 系统 是 正常 的 。 若 在 给 定 的 一 段 时 间 
内 没有 收 到 “心跳 信号 ” 检测 系统 便 认 为 生产 系统 出 现 了 非 正常 的 灾难 。 心 跳 技 术 的 另外 
一 个 实现 是 : 每 隔 一 段 时 间 ， 检 测 系统 就 对 生产 系统 进行 一 次 检测 ， 如 果 在 给 定 的 时 间 内 ， 
被 检测 的 系统 没有 响应 ， 则 认为 被 检测 的 系统 出 现 了 非 正常 的 灾难 。 心 跳 技 术 中 的 关键 点 
是 心跳 检测 的 时 间 和 时 间 间 隔 周期 。 如 果 间 隔 周期 短 ， 会 给 系统 带 来 很 大 的 开销 。 如 果 间 
隔 周期 长 ， 则 无 法 及 时 地 发 现 故 障 。 


9. 系统 迁移 技术 


灾难 发 生 后 ， 为 了 保持 生产 系统 的 业务 连续 性 ， 需 要 实现 系统 的 透明 性 迁移 ， 利 用 备 
日 系统 透明 地 代 蔡 生产 系统 进行 运作 。 一般 对 实时 性 要 求 不 高 的 容 灾 系统 ,例如 Web 服务 、 
邮件 服务 器 等 ,可 以 通过 修改 DNS 或 者 卫 来 实现 ， 对 实时 性 要 求 高 的 容 灾 系 统 ， 则 需要 将 
生产 系统 的 应 用 透明 地 迁移 到 备用 系统 上 。 目 前 基于 本 地 机 群 的 进程 迁移 的 算法 可 以 应 用 
在 远程 容 灾 系统 中 ， 但 是 需要 对 迁移 算法 进行 改进 ， 使 之 适应 复杂 的 网 络 环境 。 


5.3 ”数字 证 据 获取 


现在 ,信息 系统 的 攻击 和 对 抗 已 经 不 仅仅 是 技术 领域 和 管理 领域 的 问题 了 。 许 多 问题 
已 经 涉 讼 ， 成 为 法 学 案件 。 随 着 数字 犯罪 案件 的 增多 ， 数 字 证 据 的 获取 已 经 成 为 信息 技术 
和 法 学 家 们 共同 关注 的 热点 。 

数字 证 据 也 称 为 计算 机 证 据 。 对 于 它 的 研究 最 早 是 从 应 急 响 应 的 角度 开始 的 ， 目 的 是 
为 了 搜集 攻击 者 的 有 关 信息 。 直 到 2001 年 人 们 才 转 移 到 从 司法 的 角度 来 看 待 它 ， 关 于 它 的 
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研究 ， 才 从 纯 技 术 领 域 转向 技术 与 法 学 的 结合 上 。 
5.3.1 数字 证 据 的 特点 与 数字 取证 的 基本 原则 

1. 数字 证 据 的 特点 

数字 证 据 就 在 计算 机 或 计算 机 系统 运行 过 程 中 产生 的 、 以 其 记录 的 内 容 来 证 明 案 件 事 
实 的 电磁 记录 。 与 其 他 证 据 相 比 ， 它 有 如 下 一 些 特点 。 

1) 依附 性 和 多 样 性 

电磁 证 据 依 附 在 不 同 介质 上 。 这 就 带 来 两 个 方面 的 特点 : 一 是 数字 证 据 不 会 像 传 统 的 
证 据 那样 可 以 独立 存在 ， 二 是 不 同 的 介质 使 同样 的 信息 表现 出 不 同 的 形态 ， 如 在 导体 中 是 
以 电流 或 电压 表现 的 数字 脉冲 ， 在 显示 器 上 是 文字 或 图 形 ， 在 磁盘 中 是 磁 核 的 排列 形式 ， 
在 光缆 中 是 光波 等 。 

2) 可 伪 性 和 弱 证 明 性 

数字 证 据 的 非 实物 性 ， 使 得 其 窃取 、 修 改 甚至 销毁 都 比较 容易 。 例 如 ， 黑 客 在 入 侵 之 
后 ， 可 以 对 现场 进行 一 些 灭 迹 、 制 造假 象 等 工作 ， 给 证 据 的 认定 带 来 困难 ， 直 接 减 低 了 证 
明 力 度 ， 增 加 了 跟踪 和 侦查 的 难度 。 

3) 数据 的 挥发 性 

计算 机 系统 中 所 处 理 的 数据 有 一 些 是 动态 的 。 这 些 动态 数据 对 于 发 现 犯罪 的 蛛丝马迹 
非常 有 用 。 但 是 它们 却 有 一 定 的 时 间 效 应 ， 即 有 些 数据 会 因 失 效 或 消失 而 挥发 。 在 收集 数 
字 证 据 时 必须 充分 考虑 数据 的 挥发 性 。 表 5.1 描述 了 数字 证 据 数据 的 挥发 性 。 

表 5.1 数字 证 据 数据 的 挥发 性 


数据 存活 时 间 
CPU 几 个 时 名 周期 
系统 关机 前 
内 核 表 关机 前 
因 定 介质 直至 被 被 关 或 被 失掉 
可 移动 介质 CD-ROM, Floppy, HDO 直至 被 覆盖 或 被 抹 掉 
打印 输出 被 打印 输出 直至 被 毁坏 








2. 数字 取证 的 基本 原则 

实施 数字 取证 应 当 遵循 如 下 原则 : 符合 程序 ， 共 同 监督 ， 保 护 隐私 ， 影 响 最 小 ， 连 续 
完全 ， 原 汁 原味 。 下 面 分 别 予 以 说 明 。 

1) 符合 程序 

取证 应 当 首 先 启动 法 律 程序 ， 要 在 法 律 规定 的 范围 内 展开 工作 ， 否 则 会 陷入 被 动 。 

2) 共同 监督 

由 原告 委派 的 专家 所 进行 的 整个 检查 、 取 证 过 程 必 须 受到 由 其 他 方 委派 的 专家 的 监督 。 
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3) 保护 隐私 


在 取证 过 程 中 ， 要 尊重 任何 关于 客户 代理 人 的 隐私 。 一 旦 获取 了 一 些 关 于 公司 或 个 人 
的 隐私 ， 绝 不 能 泄露 。 


4) 影响 最 小 


(1) 如 果 取 证 要 求 必须 运行 某 些 业务 程序 ， 应 当 使 运行 时 间 尽 量 短 。 








(2) 必须 保证 取证 不 给 系统 带 来 副作用 ， 如 引进 病毒 等 。 


5) 连续 完全 





必须 保证 证 据 的 连续 性 〈chain of custody)， 即 在 将 证 据 提 交 法 庭 前 要 一 直 跟 踪 证 据 ， 
要 向 法 庭 说 明 在 这 段 时 间 内 证 据 有 无 变化 。 此 外 ， 要 向 法 庭 说 明 该 证 据 的 完全 性 。 





6) 原 汁 原味 


(1) 必须 保证 提取 出 来 的 证 据 不 受 电磁 或 机 械 的 损害 。 
(2) 必须 保证 收集 的 证 据 不 被 取证 程序 破坏 。 


5.3.2 ”数字 取证 的 一 般 步 又 
数字 取证 过 程 一 般 可 以 按 如 下 步骤 进行 。 


1. 保护 现场 


(1) 在 取证 过 程 中 ， 保 护 目标 系统 ， 避 免 发 生 任何 改变 、 损 害 。 
(2) 保护 证 据 的 完整 性 ， 防 止 证 据 信息 的 丢失 和 破坏 。 
(3) 防止 病毒 感染 。 





2. 证 据 发 现 


证 据 发 现 首先 要 识别 可 获取 证 据 的 信息 类 型 。 按 照 证 据 信 息 变 化 的 特点 ， 可 以 将 取证 


分 为 两 大 类 。 


(1) 来 源 取证 。 即 确定 犯罪 嫌疑 人 或 者 证 据 的 来 源 。 例 如 ， 在 网 络 犯罪 侦查 中 ， 为 了 


确定 犯罪 嫌疑 人 ， 


可 能 需要 找到 犯罪 嫌疑 人 犯罪 时 使 用 的 机 器 的 人 P 地 址 , 则 寻找 人 P 地 址 便 


是 来 源 取证 。 这 类 取证 中 ,主要 有 IP 地 址 取证 、MAC 地 址 取证 、 电 子 邮 件 取证 、 软 件 账号 


取证 等 。 
(2) 事实 取 记 


E。 即 不 是 为 了 查 明 犯 罪 嫌疑 人 ， 而 是 取得 与 证 明 案 件 相关 事实 的 证 据 ， 





例如 犯罪 嫌疑 人 的 犯罪 事实 证 据 。 在 事实 取证 中 常见 的 取证 方法 有 文件 内 容 调查 、 使 用 痕 
迹 调查 、 软 件 功 能 分 析 、 软 件 相 似 性 分 析 、 日 志文 件 分 析 、 网 络 状态 分 析 、 网 络 数 据 包 分 


析 等 。 





下 面 是 可 以 作为 证 据 或 可 以 提供 相关 信息 的 信息 源 。 

(1) 日 志 ， 如 操作 系统 日 志 等 。 

(2) 文件 ， 如 可 以 进行 的 文件 搜索 有 以 下 几 种 。 

搜索 目标 系统 中 的 所 有 文件 〈 包 括 现 存 的 正常 文件 、 已 经 被 删除 但 仍 存在 于 磁盘 上 


9 


还 没有 被 覆盖 的 文件 、 隐 藏 文件 、 受 密码 保护 的 和 加 密 文 件 )。 

@ 尽量 恢复 所 发 现 的 文件 。 

@ 在 法 律 允 许 的 情况 下 ， 访 问 被 保护 或 加 密 的 文件 。 

@ 分 析 磁 盘 特殊 区 域 〈 未 分 配 区 域 、 文 件 栈 区 等 )。 

(3) 系统 进程 ， 如 进程 名 、 进 程 访 问 文件 等 。 

(4) 用 户 ， 特 别 是 在 线 用 户 的 服务 时 间 、 使 用 方式 等 。 

(5) 系统 状态 ， 如 系统 开放 的 服务 、 网 络 运行 的 状态 等 。 

(6) 通信 连接 记录 ， 如 网 络 路 由 器 的 运行 日 志 等 。 

(7) 存储 介质 ， 如 磁盘 、 光 盘 、 闪 存 等 。 

在 证 据 发 现 阶段 可 以 使 用 的 技术 有 IDS、 蜜 钢 技 术 、 网 络 线索 自动 识别 技术 和 济源 技术 
等 。 同 时 还 可 以 使 用 一 些 相 关 的 工具 。 表 5.2 为 一 些 常用 实时 取证 类 工具 。 


表 5.2 一 些 常 用 实时 取证 类 工具 














工具 名 称 用 途 描 述 
EnCase 一 个 集成 的 、 基 于 Windows 的 取证 应 用 程序 ， 功 能 包括 数据 浏览 、 搜 索 、 磁 盘 浏 览 、 数 据 预 览 、 
建立 案例 、 建 立 证 据 文 件 、 保 存 案例 等 
X-Ways Capture 一 套 专业 的 计算 机 取证 工具 ,用 于 在 证 据 采 集 阶段 获取 正在 运行 的 Windows 和 Linux 系统 下 的 硬 
盘 、 文 件 和 RAM 数据 
FTK 美国 警方 标准 配备 、 全 球 警 方 使 用 量 较 多 的 电子 证 据 分 析 软 件 
效率 源 DataCompass 第 四 代 专 业 数据 恢复 工具 : 用 于 硬盘 数据 和 U 盘 数 据 恢 复 
CRCMD5 一 个 可 以 验证 一 个 或 多 个 文件 内 容 的 CRC 工具 
DiskSig 一 个 CRC 程序 ， 用 于 验证 映像 备份 的 精确 性 
Filter_we 一 种 用 于 周围 环境 数据 的 智能 模糊 逻辑 过 滤器 
GetSlack 一 种 周围 环境 数据 收集 工具 ， 用 于 捕获 未 分 配 的 数据 
GetTime 一 种 周围 环境 数据 收集 工具 ， 用 于 捕获 分 散 的 文件 
Net Threat Analyzer 网 络 取证 分 析 软 件 ， 用 于 识别 公司 互联 网 络 账号 滥用 
Seized 一 种 用 于 对 证 据 计 算 机 上 锁 及 保护 的 程序 
ShowFL 用 于 分 析 文件 输出 清单 的 程序 
TextSearch Plus 用 来 定位 文本 或 图 形 文件 中 的 字符 串 的 工具 
3. 证 据 固定 
针对 数字 证 据 的 挥发 性 ， 数 字 证 据 的 固定 非常 重要 。 
4. 证 据 提取 


证 据 提取 主要 是 提取 特征 。 提 取 方 法 如 下 。 
(1) 过 滤 和 挖掘。 
(2) 解码 :对 软件 或 数据 碎片 进行 残缺 分 析 、 上 下 文 分 析 ， 恢 复原 来 的 面貌 。 


ss 


5. 证 据 分 析 


证 据 分 析 的 目的 大 致 有 以 下 几 个 方面 。 

(1) 犯罪 行为 重 构 。 

(2) 嫌疑 人 画像 。 

(3) 确定 犯罪 动机 。 

(4) 受害 程度 行为 分 析 等 。 

6. 提交 证 据 

向 律师 、 管 理 者 或 法 庭 提交 证 据 。 这 时 要 注意 使 用 规定 的 法 律 文书 格式 和 术语 。 
5.3.3 ”数字 取证 的 基本 技术 和 工具 

在 数字 取证 过 程 中 ， 可 以 使 用 相关 的 技术 和 工具 。 现 在 已 经 开发 出 了 这 样 一 些 工具 。 
表 5.3 为 可 以 提供 计算 机 及 网 络 攻 击 取证 的 一 些 网 站 。 

表 5.3 提供 计算 机 及 网 络 攻击 取证 工具 的 一 些 网 站 








资源 类 型 网 络 地 址 
TCT 取证 软件 包 http://www. fish.com/forensics/ 
Encase http://www.encase.com/ 
计算 机 取证 分 析 http://www. porcupine.org/forensics/ 
Computer Forensics Tool Testing (CFTT) http://www.cftt.nist.gov/ 
文件 及 介质 取证 工具 箱 Sleuth Kit http://www. sleuthkit.org/sleuthkit/index.php 
开放 源 代码 数字 取证 http://wwwopensourceforensics.org/ 


下 面 重点 介绍 利用 IDS 和 蜜 钠 取 证 的 方法 。 
1. 利用 IDS 取证 
把 IDS 与 取证 工具 结合 ， 往 往 能 对 网 络 攻击 进行 取证 并 得 到 响应 。 


1) 确认 攻击 

确认 攻击 是 响应 的 第 一 步 ， 其 主要 方法 是 查找 攻击 留 下 的 痕迹 。 检 查 的 主要 内 容 如 下 。 
(1) 寻找 噢 探 器 〈 如 Sniffer)。 

(2) 寻找 远程 控制 程序 (如 netbus、back orifice )。 

(3) 寻找 黑客 可 能 利用 的 文件 共享 或 通信 程序 (如 eggdrop、irc)。 
(4) 寻找 特权 程序 (如 find/-perm-4000-print)。 

(5) 寻找 未 授权 的 服务 (如 netstat -a、check inetd.conf)。 

(6) 寻找 异常 文件 〈 考 虑 系统 磁盘 大 小 )。 

(7) 检查 文件 系统 的 变动 。 

(8) 检查 口令 文件 的 变动 并 寻找 新 用 户 。 

(9) 检测 cron。 





(10) 核对 系统 和 网 络 配 置 (特别 要 注意 过 滤 规 则 )。 
(11) 检查 所 有 主机 特别 是 服务 器 )。 

2) 取证 过 程 

(1) 决定 取证 的 目的 。 

@ 观察 研究 攻击 者 。 

@ 跟踪 并 驱赶 攻击 者 。 

@ 捕 俘 攻击 者 。 

@ 准备 起 诉 攻击 者 。 

(2) 启动 必要 的 法 律 程序 。 

(3) 对 系统 进行 完全 备份 ， 包 括 : 

Q@ 用 tcpdump 作 完 全 的 分 组 日 志 。 

@ 有 关 协 议 分 组 的 来 龙 去 脉 。 

@ 一 些 会 话 (如 Telnet、rlogin、IRC、FTP 等 ) 的 可 能 内 容 。 
(4) 根据 情况 有 选择 地 关闭 计算 机 系统 。 

@ 不 彻底 关闭 系统 〈 和 否则 造成 信息 改变 ， 证 据 破坏 )。 
@ 不 断 开 网 络 。 

@ 将 系统 备份 转移 到 单 用 户 模式 下 制作 和 验证 备份 。 
@ 考虑 制作 磁盘 镜像 。 

@ 同步 磁盘 ， 和 暂停 系统 。 

(5) 调查 攻击 者 来 源 。 

@ 利用 tcpdump/who/syslog。 

@ 运行 finger 对 抗 远 程 系 统 。 

@ 寻找 攻击 者 可 能 利用 的 账号 。 


2. 利用 密 钒 取证 


利用 蜜 钢 进 行 取证 分 析 的 一 些 原则 和 步骤 如 下 。 

(1) 获取 入 侵 者 信息 。 

(2) 获取 关于 攻击 的 信息 。 

@ 攻击 的 手段 、 日 期 和 时 间 。 

@ 入 侵 者 添加 了 一 些 什么 文件 ? 

@ 是 否 安装 了 噢 探 器 或 密码 ? 若 有 ， 在 何 处 ? 

@ 是 否 安装 有 rootkit 或 木马 程序 ? 若 有 ， 传 播 途 径 是 什么 ? 








(3) 建立 事件 的 时 间 序 列 。 
(4) 事故 费用 分 析 。 
(5) 向 管理 层 、 媒 体 以 及 法 庭 提交 相应 的 报告 。 
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5.3.4 数字 证 据 的 法 律 问 题 


数字 证 据 学 是 涉及 信息 技术 和 法 学 两 个 领域 的 交叉 学 科 。 下 面 讨论 它 在 法 学 方面 的 一 
些 问题 。 


1. 法 律 对 证 据 的 基本 要 求 


法 律 对 作为 定案 依据 的 证 据 ， 有 真实 性 、 合 法 性 和 关联 性 3 方面 要 求 。 

一 般 而 言 ， 关 联 性 主要 指证 据 与 案件 争议 和 理由 的 联系 程度 ， 这 属于 法 官 裁判 的 范围 。 
合法 性 主要 包括 证 据 的 形式 、 收 集 手 段 、 是 否 侵犯 他 人 权益 、 取 证 工具 是 否 合法 等 。 这 在 
后 面 要 进行 有 关 的 讨论 。 

关于 证 据 的 真实 性 ， 民 事 诉讼 法 和 相关 司法 解释 都 要 求 提供 “原件 ”( 书 面 文件 )。 
为 这 种 看 得 见 、 摸 得 着 的 东西 才能 给 人 充分 的 真实 感 和 唯一 ee 
而 数字 证 据 的 真实 性 的 确认 一 直 是 人 们 最 关注 的 问题 。 目 前 ， 人 们 想 用 数字 签名 的 方法 来 
解决 这 一 法 律 难题 。 通 过 数字 签名 ， 可 以 证 明 签 发 数字 证 据 的 人 是 谁 ， 也 可 以 证 明 数字 证 
据 是 否 被 算 改 过 。 


2. 关于 数字 证 据 的 证 明 力 


证 据 的 证 明 力 是 指证 据 对 证 明 案 件 事实 所 具有 的 效力 ， 即 该 证 据 是 否 能 够 直接 证 明 案 
件 事实 还 需要 其 他 证 据 配 合 综合 认定 。《 中 华人 民 共 和 国 刑事 诉讼 法 》(2013 版 ) 第 五 章 第 
四 十 八条 规定 ， 可 以 用 于 证 明 案 件 事实 的 材料 都 是 证 据 ， 包 括 : 

(1) 物证 。 

(2) 书证 。 

(3) 证 人 证 言 。 

(4) 被 害 人 陈述 。 

(5) 犯罪 嫌疑 人 、 被 告 人 供述 和 辩解 。 

(6) 鉴定 意见 。 

(7) 勘 验 、 检 查 、 辨 认 、 侦 查实 验 等 笔录 。 

(8) 视听 资料 、 电 子 数据 。 


3. 关于 数字 取证 工具 的 法 律 效力 

数字 证 据 的 合法 性 涉及 数字 取证 工具 的 法 律 效力 ， 即 法 庭 是 否认 可 。 每 种 工具 都 是 一 
个 程序 。 按 照 Daubert 测试 ， 可 以 从 下 面 4 个 方面 进行 讨论 。 

1) 可 测试 性 

测试 的 目的 是 为 了 确定 一 个 程序 是 否 可 以 被 测试 并 确定 它 所 提供 的 结果 的 准确 性 。 对 
一 个 工具 必须 执行 两 类 测试 。 

(1) 漏 判 测试 : 确认 取证 工具 是 否 可 以 在 输入 输出 端 提取 所 有 可 以 得 到 的 数据 。 
(2) 误 判 测试 : 确认 取证 工具 在 输入 输出 端 没 有 引入 新 的 数据 。 
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2) 错误 率 

测试 用 于 识别 在 数字 取证 工具 中 是 否 存 在 已 知 的 错误 。 在 数字 取证 工具 中 ， 可 能 存在 
两 类 错误 。 

(1) 工具 执行 错误 : 源 于 代码 中 的 漏洞 的 错误 。 

(2) 提取 错误 : 源 自 算 法 的 错误 。 

3) 公开 性 

公开 性 指 工 具 在 公开 地 方 有 证 明 并 经 过 对 等 部 门 复查 。 这 是 证 据 得 以 承认 的 主要 条 件 。 

4) 可 接受 性 

可 接受 性 指 工 具 能 够 被 广泛 接受 。 
5.3.5 日 志 

1. 日 志 及 其 用 途 


日 志 (log)〉 是 系统 所 指定 对 象 的 某 些 操作 和 其 操作 结果 按时 间 有 序 的 集合 ， 是 记录 信 
息 系 统 安全 状态 和 问题 的 原始 数据 。 通 常情 况 下 ， 系 统 日 志 是 用 户 可 以 直接 阅读 的 文本 文 
件 。 每 个 日 志文 件 由 日 志 记录 组 成 ， 每 条 日 志 记录 描述 了 一 次 单独 的 系统 事件 。 典 型 的 日 
志 内 容 有 以 下 几 种 。 

(1) 事件 的 性 质 : 数据 的 输入 和 输出 ,文件 的 更 新 (改变 或 修改 )， 系 统 的 用 途 或 期 望 。 

(2) 全 部 相关 标识 ， 人、 设备 和 程序 。 

(3) 有 关 事 件 的 信息 : 日 期 和 时 间 ， 成 功 或 失败 ， 涉 及 因素 的 授权 状态 ， 转 换 次 数 ， 
系统 响应 ， 项 目 更 新 地 址 ， 建 立 、 更 新 或 删除 信息 的 内 容 ， 使 用 的 程序 ， 兼 容 结果 和 参数 
检测 ， 侵 权 步 又 等 。 对 大 量 生 成 的 日 志 要 适当 考虑 数据 的 保存 期 限 。 

日 志文 件 中 的 记录 可 提供 以 下 用 途 。 

(1) 监控 系统 资源 ;审计 用 户 行为 ， 对 可 疑 行为 进行 告警 。 

(2) 确定 入 侵 行 为 的 范围 ; 为 恢复 系统 提供 帮助 ; 生成 调查 报告 。 

(3) 为 打击 计算 机 犯罪 提供 证 据 来 源 。 


2. 日 志 的 特点 


(1) 数据 量 大 。 

通常 对 外 服务 产生 的 日 志文 件 ， 如 Web 服务 日 志 、 防 火 墙 、 入 侵 检测 系统 日 志和 数据 
库 日 志 以 及 各 类 服务 器 日 志 等 都 很 大 ， 一 个 日 志文 件 一 天 产生 的 容量 少 则 几 十 MB、 几 百 
MB， 多 则 有 几 个 GB、 几 十 个 GB。 

(2) 日 志 仅 反 映 本 系统 的 某 些 特定 事件 的 操作 情况 。 

一 个 系统 的 日 志 是 对 本 系统 涉及 的 运行 状况 的 信息 按时 间 顺 序 作 一 简单 的 记录 ， 仅 反映 
本 系统 的 某 些 特定 事件 的 操作 情况 ， 并 不 完全 反映 某 一 用 户 的 整个 活动 情况 。 一 个 用 户 在 
网 络 活动 的 过 程 中 会 在 很 多 的 系统 日 志 中 留 下 痕迹 ， 如 防火 墙 IDS 日 志 、 操 作 系统 日 志 等 ， 
这 些 不 同 的 日 志 之 间 存 在 某 种 必然 的 联系 来 反映 用 户 的 活动 情况 。 只 有 将 多 个 系统 的 日 志 
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结合 起 来 分 析 ， 才 能 准确 反映 用 户 的 活动 情况 。 

(3) 产生 系统 日 志 的 软件 通常 为 应 用 系统 。 

产生 系统 日 志 的 软件 通常 为 应 用 系统 而 不 是 作为 操作 系统 的 子 系统 运行 ， 所 产生 的 日 
志 记 录 容 易 遭 到 恶意 的 破坏 或 修改 。 系 统 日 志 遂 常 存储 在 系统 未 经 保护 的 目录 中 ， 并 以 文 
本 方式 存储 ， 未 经 加 密 和 校 验 处 理 ， 没 有 提供 防止 恶意 算 改 的 有 效 保护 机 制 。 因 此 ， 日 志 
文件 并 不 一 定 是 可 靠 的 ， 入 侵 者 可 能 会 算 改 日 志文 件 ， 从 而 不 能 被 视 为 有 效 的 证 据 。 由 于 
日 志 是 直接 反映 入 侵 者 痕迹 的 ， 在 计算 机 取证 中 扮演 着 重要 的 角色 ， 入 侵 者 获取 系统 权限 
窃取 机 密 信 息 或 破坏 重要 数据 后 往往 会 修改 或 删除 与 其 相关 的 日 志 信息 ， 甚 至 根据 系统 的 
漏洞 伪造 日 志 以 迷惑 系统 管理 员 和 审计 。 

(4) 日 志 记录 不 会 长 期 保存 。 

系统 日 志 是 根据 日 志文 件 占用 磁盘 空间 的 大 小 来 自动 删除 旧 的 日 志 记录 ， 例 如 ， 如 果 
设置 日 志文 件 占用 磁盘 空间 为 2MB,， 那么 ， 当 日 志文 件 达 到 2MB 大 小 时 ， 新 的 日 志 记录 会 
自动 奉 换 最 旧 的 日 志 记录 。 


3. Windows 日 志 


1) 日 志 类 型 及 其 组 成 

以 Windows 2000/XP 为 例 , 日 志文 件 通 常 有 应 用 程序 日 志 、 安 全 日 志 、 系 统 日 志 、DNS 
服务 器 日 志 、FTP 日 志 th 等 。 默 认 文件 大 小 为 512KB， 但 管理 员 可 以 改变 这 个 
默认 值 。 

(1) 应 用 程序 日 志 : 记录 由 应 用 程序 产生 的 事件 。 例 如 ， 某 个 数据 库 程序 可 能 设 定 为 
每 次 成 功 完 成 备份 操作 后 都 向 应 用 程序 日 志 发 送 事件 记录 信息 。 应 用 程序 日 志 中 记录 的 时 
间 类 型 由 应 用 程序 的 开发 者 决定 ， 并 提供 相应 的 系统 工具 帮助 用 户 使 用 应 用 程序 日 志 。 

(2) 系统 日 志 : 记录 由 Windows NT/2000 操作 系统 组 件 产生 的 事件 ， 主 要 包括 驱动 程 

、 系 统 组 件 和 应 用 软件 的 崩 江 以 及 数据 丢失 错误 等 。 系 统 日 志 中 记录 的 时 间 类 型 由 
Sew NT/2000 操作 系统 预先 定义 。 

(3) 安全 日 志 : 记录 与 安全 相关 事件 ， 包 括 成 功 和 不 成 功 的 登录 或 退出 、 系 统 资源 使 
用 事件 等 。 与 系统 日 志和 应 用 程序 日 志 不 同 ， 安 全 日 志 只 有 系统 管理 员 才 可 以 访问 。 

Windows NT/2000 的 系统 日 志 由 事件 记录 组 成 。 每 个 事件 记录 为 3 个 功能 区 : 记录 头 
区 、 事 件 描述 区 和 附加 数据 区 。 


2) 日 志文 件 默 认 位 置 


应 用 程序 日 志 : %systemroot%\\system32\config\AppEvent.EVT。 
系统 日 志 : %systemroot%\\system32\\config\SysEvent.EVT。 

安全 日 志 : %systemroot%\\system32\\config\\SecEvent.EVT。 

FTP 日 志 : %systemroot%\\system32\logfiles\msftpsve1\\。 

WWW 日 志 : %systemroot%\\system32\\logfiles\w3sve1\\。 
Scheduler 服务 日 志 : %systemroot%\\schedlgu.txt。 
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3) 查看 日 志 





查看 日 志 有 两 种 方法 。 
(1) 选择 “开始 ”一 “设置 ”一 “控制 面板 ”一 “管理 工具 ”， 在 其 中 找到 “事件 查 
看 器 ”。 


(2) 选择 “开始 ”一 “运行 ” 输入 eventvwr.msc， 可 以 直接 进入 “事件 查看 器 ”。 

4) 设置 日 志保 留 方式 

在 Windows 的 “属性 ”对 话 框 中 ， 选 中 “定义 这 个 策略 设置 ” 复 选 杠 ， 进 行 如 下 选择 。 

(1)“ 按 需要 改写 事件 ”， 选 择 将 系统 日 志 存 档 。 

(2)“ 按 天 数 改 写 事件 ”， 设 置 合适 的 保存 天 数 ， 但 要 确保 系统 日 志 足 够 大 。 

(3)“ 不 要 改写 事件 (手动 清除 日 志 )”， 这 种 情况 下 ， 如 果 达 到 最 大 的 日 志 大 小 ， 将 丢 
弃 新 事件 。 


4. UNIX 日 志 


1) 日 志 函 数 syslog 

UNIX 系统 采用 syslog 函数 记录 日 志 。 任何 程序 都 可 以 通过 syslog 记录 事件 。syslog 可 
以 记录 系统 事件 ， 可 以 写 到 一 个 文件 或 设备 中 ， 或 给 用 户 发 送 一 个 信息 。 它 能 记录 本 地 事 
件 或 通过 网 络 记录 另 一 台 主机 上 的 事件 。 

syslog 依据 两 个 重要 的 文件 一 一 /sbin/syslogd (守护 进程 》 和 /etc/syslog.conf 配置 文件 。 

2) 日 志 子 系统 

在 Linux 系统 中 ， 有 3 个 主要 的 日 志 子 系统 。 

(1) 连接 时 间 日 志 : 由 多 个 程序 执行 , 把 记录 写 入 到 /var/log/wtmp 和 /var/run/utmp, login 
等 程序 更 新 wtmp 和 utmp 文件 ， 使 系统 管理 员 能 够 跟踪 谁 在 何 时 登录 到 系统 。 

(2) 进程 统计 日 志 : 由 系统 内 核 执 行 。 当 一 个 进程 终止 时 ， 为 每 个 进程 往 进程 统计 文 
件 (pacct 或 acct) 中 写 一 个 记录 。 进 程 统计 的 目的 是 为 系统 中 的 基本 服务 提供 命令 使 用 统计 。 

(3) 错误 日 志 : 由 syslogd 执行 。 各 种 系统 守护 进程 、 用 户 程序 和 内 核 通过 syslog 向 文 
件 /varlog/messages 报告 值得 注意 的 事件 .另外 有 许多 UNIX 程序 创建 日 志 。 像 HTTP 和 FTP 
这 样 提供 网 络 服务 的 服务 器 也 保持 详细 的 日 志 。 

3) UNIX 常用 日 志文 件 

lastlog: 记录 用 户 最 后 一 次 成 功 登录 的 时 间 。 

loginlog: 不 良 的 登录 尝试 记录 。 

messages: 记录 输出 到 系统 主 控 台 以 及 由 syslog 系统 服务 程序 产生 的 消息 。 

utmp: 记录 当前 登录 的 每 个 用 户 。 

utmpx: 扩展 的 utmp。 

wtmp: 记录 每 一 次 用 户 登录 和 注销 的 历史 信息 。 

wtmpx: 扩展 的 wtmp。 

vold.log: 记录 使 用 外 部 介质 出 现 的 错误 。 
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xferkig: 记录 FTP 的 存 取 情 况 。 

sulog: 记录 su 命令 的 使 用 情况 。 

acct: 记录 每 个 用 户 使 用 过 的 命令 。 

aculog: 发 出 自动 呼叫 记录 。 

boot.log: 记录 开机 启动 信息 。 

secure: 登录 到 系统 存 取 资料 的 记录 ， 如 FTP、SSH、Telnet 等 。 
4) 日 志文 件 的 位 置 

在 UNIX 下 ， 存 放 日 志文 件 的 常用 目录 如 下 。 

(1) /usradm 〈 早 期 版 本 的 )。 

(2) unix/varadm 〈 较 新 版 本 的 )。 

(3) unix/var/log (用 于 Solaris、Linux 和 BSD 等 )。 


5) 日 志 管 理 命令 
UNIX 下 日 志 查看 和 保留 设置 用 命令 方式 进行 ， 有 兴趣 者 请 查阅 有 关 资 料 ， 这 里 不 再 
介绍 。 





5.4 ”信息 系统 安全 风险 评估 与 审计 


安全 管理 的 第 一 步 就 是 建立 一 个 全 局 的 安全 目标 ， 然 后 才能 围绕 这 个 总 体 目标 指定 系 
0 ey eh bap onde ei di be 


Re 
到 的 潜在 威胁 的 分 析 ， 把 系统 风险 降低 到 可 以 接受 的 水 平 。 这 就 是 信息 系统 安全 风险 评估 。 
5.4.1 信息 系统 安全 风险 评估 及 其 目的 

1. 信息 系统 安全 风险 评估 的 概念 

系统 的 安全 强度 可 以 通过 风险 大 小 衡量 。 科 学 地 分 析 信 息 系 统 的 风险 ， 综 合 平衡 风险 
和 代价 的 过 程 就 是 信息 系统 安全 风险 评估 。 世 界 各 国信 息 化 的 经 验 表 明 。 

(1) 不 计 代 价 ， 片 面 地 追求 系统 安全 是 不 切实 际 的 。 

(2) 不 考虑 风险 存在 的 信息 系统 是 危险 的 ， 是 要 付出 代价 ， 甚 至 是 灾难 性 代价 的 。 

(3) 所 有 的 信息 系统 建设 的 生命 周期 都 应 当 从 安全 风险 评估 开始 。 

2. 信息 系统 安全 风险 评估 的 目的 

通过 信息 系统 安全 风险 评估 ， 组 织 可 以 达到 如 下 目的 。 

(1) 了 解 组 织 的 信息 系统 的 管理 和 安全 现状 。 


(2) 确定 资产 威胁 源 的 分 布 ， 如 入 侵 者 、 内 部 人 员 、 自 然 灾害 等 ， 确 定 其 实施 的 可 能 
性 ; 分 析 威 胁 发 生 后 资产 的 价值 损失 、 敏 感性 和 严重 性 ， 确 定 相应 级 别 ， 确定 最 敏感 、 最 
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要 资产 在 威胁 发 生 后 的 损失 。 
(3) 了 解 系统 的 脆弱 性 分 布 。 
(4) 明晰 组 织 的 安全 需求 ， 指 导 建立 安全 管理 框架 ， 合 理 规划 安全 建设 计划 。 


3. 信息 系统 安全 风险 评估 时 机 


信息 系统 安全 风险 评估 是 信息 系统 每 个 生命 周期 的 起 点 和 动因 。 具 体 地 说 ， 应 当 在 下 
面 的 一 些 时 机 进行 。 

(1) 要 设计 规划 或 升级 到 新 的 信息 系统 时 。 

(2) 给 目前 的 信息 系统 增加 新 的 应 用 或 新 的 扩充 〈 包 括 进行 互联 ) 时 。 

(3) 发 生 一 次 安全 事件 后 。 

(4) 组 织 具 有 结构 性 变动 时 。 

(5) 按照 规定 或 某 些 特殊 要 求 对 信息 系统 的 安全 进行 评估 时 。 


5.4.2 ”信息 系统 安全 风险 评估 的 准则 与 模式 
1. 信息 系统 安全 风险 评估 准则 


在 信息 系统 安全 风险 评估 中 ， 应 当 遵循 如 下 一 些 原则 。 

(1) 规范 性 原则 。 具 有 3 层 含义 。 

人 @ 评估 方案 和 实施 ， 要 根据 有 关 标 准 进行 。 

@ 选择 的 评估 部 门 ， 需 要 被 国家 认可 ， 并 具有 一 定 等 级 的 资质 。 
@ 评估 过 程 和 文档 要 规范 。 

(2) 整体 性 原则 。 评 估 要 从 业务 的 整体 需求 出 发 ， 不 能 局 限于 某 些 局 部 。 
(3) 最 小 影响 原则 。 包 含 如 下 意义 。 

@ 评估 要 有 充分 的 计划 性 ， 不 对 系统 运行 产生 显著 影响 。 

@ 所 使 用 的 评估 工具 要 经 过 多 次 使 用 考验 ， 具 有 很 好 的 可 控 性 。 
(4) 保密 性 原则 。 包 含 如 下 方面 。 

@ 对 评估 数据 严格 保密 。 

@ 不 得 泄露 参评 人 员 资 料 。 

@ 不 得 使 用 评估 数据 对 被 评 方 造成 利益 损失 。 


2. 信息 系统 安全 风险 评估 参考 标准 


进行 信息 系统 安全 风险 评估 时 可 以 参照 的 标准 如 下 。 

@@ ASNZS 4306: 1999 (风险 管理 指南 ) 澳大利亚 和 新 西 兰 关于 风险 管理 的 标准 。 

@ NIST SP 800-30: 美国 国家 标准 和 技术 研究 院 (NIST) 开发 的 信息 系统 风险 管理 
指南 。 

@@ NIST SP 800-26: NIST 开发 的 信息 系统 安全 自我 评估 指南 。 

@ ISO 17799: 英国 标准 协会 (British Standard Institute，BSI) 开发 ， 后 成 为 信息 安全 
管理 体系 的 国际 标准 。 
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@ BS 7799-2: BSI 开 发 的 信息 安全 管理 标准 。 

@ OCTAVE (Operationally Critical Threat，Asset，and Vulnerability Evaluation ): 美国 
卡 内 基 “。 梅 隆 大 学 软件 工程 学 院 开 发 的 一 种 风险 评估 方法 。 

@ BS 15000 (ITIL): 信息 系统 服务 管理 标准 。 

@ ISO 13335: 信息 技术 安全 管理 指南 。 

@ G51: 安全 风险 评估 及 审计 指南 。 

ISO 15408/CC。 

GB/T 18336: 中 国 国家 标准 《信息 技术 、 安 全 技术 、 信 息 技术 安全 性 评估 准则 》。 

@ GB 17859 一 1999: 中 国 国家 标准 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》。 


3. 信息 系统 安全 风险 评估 模式 


安全 风险 评估 模式 是 进行 安全 风险 评估 时 应 当 遵循 的 操作 过 程 和 方式 。 每 个 组 织 应 当 
根据 自己 的 信息 系统 的 环境 选择 适当 的 评估 模式 。 下 面 是 几 种 常用 的 风险 评估 模式 。 

1) 基线 评估 (baseline risk assessment) 

安全 基线 评估 就 是 按照 标准 或 惯例 进行 评估 。 例 如 ， 按 照 下 列 标 准 规范 或 者 惯例 。 

(1) 国际 标准 和 国家 标准 ， 例 如 BS 7799-1、GB/T 18336 一 2001 等 。 

(2) 行业 标准 或 推荐 ， 例 如 德国 联邦 安全 局 IT 基线 保护 手册 等 。 

(3) 其 他 具有 类 似 商业 目标 和 规模 的 组 织 的 惯例 。 

采用 基线 安全 风险 评估 ， 组 织 应 当 根 据 行业 性 质 、 业 务 环境 等 实际 情况 ， 用 安全 极限 
的 规定 对 自己 的 信息 系统 的 安全 措施 进行 检查 ， 找 出 差距 ， 得 到 基本 的 安全 需求 。 

安全 基线 规定 适合 于 特定 环境 下 的 所 有 系统 。 采 用 基线 安全 风险 评估 ， 可 以 满足 基本 
的 安全 需求 ， 使 系统 达到 一 定 强度 的 安全 防护 水 平 。 这 种 评估 模式 需要 的 资源 少 ， 评 估 周 
期 短 ， 操 作 简单 ， 是 最 经 济 有 效 的 风险 评估 模式 。 但 是 ， 基 线 水 平 的 确定 较 困难 。 

2) 详细 评估 

详细 评估 就 是 对 信息 系统 中 的 所 有 资源 都 进行 仔细 的 评估 。 例 如 ， 可 以 划分 成 如 下 方 
面 进行 安全 风险 评估 。 

(1) 网 络 安全 风险 评估 ， 可 以 按照 了 解 拓扑 结构 一 获取 公共 访问 机 器 名 字 和 地 址 一 进 
行 端口 扫描 的 顺序 进行 。 

(2) 平台 安全 风险 评估 ， 包 括 认证 基准 配置 、 操 作 系 统 、 网 络 服务 有 无 改变 ， 认 证 管 
理 员 口令 并 测试 口令 的 强度 ， 跟 踪 审 计 子 系统 ， 评 估 数 据 库 等 。 

(3) 应 用 安全 评估 。 

详细 评估 包括 了 资产 的 鉴定 和 评估 、 资 产 面临 威胁 的 评估 以 及 安全 薄弱 环节 的 分 析 ， 
并 在 这 些 评估 分 析 的 基础 上 进行 最 后 的 风险 评估 分 析 ， 最 后 制定 出 合适 的 安全 策略 。 它 体 
现 了 风险 管理 的 思想 ， 能 识别 资产 的 风险 并 将 风险 降低 到 可 以 接受 的 水 平 。 但 是 ， 这 种 模 
式 需要 相当 多 的 财力 、 物 力 、 时 间 、 精 力 和 专业 能 力 的 投入 ， 最 后 获得 的 结果 可 能 有 一 定 
的 时 间 滞 后 。 
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3) 组 合 评估 
合 评估 是 上 述 两 种 模式 的 结合 。 它 首先 对 所 有 信息 系统 进行 一 次 较 高 级 别 的 安全 分 

析 ， 并 关注 每 一 个 实际 分 析 对 整个 业务 的 价值 以 及 它 所 面临 的 风险 的 程度 。 然 后 对 鉴定 为 
对 业务 非常 重要 或 面临 严重 风险 的 部 分 ， 进 行 详细 评估 分 析 ， 对 其 他 部 分 进行 极限 评估 分 
析 。 这 种 方法 注意 了 耗费 与 效率 之 间 的 平衡 ， 还 注意 了 高 风险 系统 的 安全 防范 。 
5.4.3 ”信息 系统 安全 风险 评估 过 程 

信息 系统 安全 风险 评估 是 确定 信息 系统 安全 需求 的 过 程 ， 它 包括 图 5.4 所 示 的 几 个 
阶段 。 


















































制订 项 目 计划 ----------------------------5 
1 [确定 资产 ] 【 脆弱 性 分 析 ] [威胁 分 析 | ! 

评估 准备 ! | 

| 现 有 安全 控制 分 析 | 

风险 分 析 “上 十---] 

| [Ef 分 析 影响 分 析 ] | 

形成 评估 报告 ! | 
| 确定 安全 风险 | 

项 目 跟踪 和 





图 5.4 信息 系统 安全 风险 评估 过 程 
下 面 对 信息 系统 安全 风险 评估 的 各 个 阶段 的 工作 作 进 一 步 说明 。 
1. 制订 项 目 计划 


评估 工作 从 制订 项 目 计 划 开 始 。 项 目 计 划 应 当 包 括 如 下 一 些 内 容 。 

(1) 评估 目标 。 进 行 安全 风险 评估 的 目的 和 期 望 。 

(2) 项 目 范围 和 边界 。 例 如 ， 通 过 定义 系统 的 连接 和 接口 。 

(3) 约束 条 件 。 包 括 时 间 (是 否 要 在 非 繁 忙 办 公 时 间 ， 甚 至 非 工 作 时 间 进 行 )、 财 务 预 
算 、 技 术 因 素 等 。 这 些 约束 可 能 影响 项 目 进度 和 评估 的 可 用 资源 。 

(4) 建立 资产 价值 〈 重 要 性 或 敏感 度 ) 评估 标准 。 

(5) 风险 接受 标准 。 明 确 组 织 可 以 接受 的 风险 的 水 平 或 等 级 。 

(6) 确定 风险 评估 的 模式 。 

(7) 项 目 进度 安排 。 用 来 控制 进度 ， 监 督 项 目 过 程 。 

2. 评估 准备 

制订 风险 评估 计划 之 后 , 便 要 为 实施 风险 评估 做 准备 工作 。 准备 工作 包括 以 下 儿 个 方面 。 

(1) 成 立 一 个 专门 的 风险 评估 小 组 ， 成 员 包 括 : 

G@ 具有 风险 评估 经 验 者 。 

@ 熟悉 组 织 运作 者 。 

图 管理 层 、 业 务 部 门 的 成 员 。 
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@ IT 系统 代表 。 

@ 用 户 代表 。 

@ 外 部 风险 评估 专家 。 

@ 组 织 的 信息 安全 官员 和 安全 管理 人 员 。 

@ 组 织 的 高 层 管理 人 员 。 

同时 要 进行 分 工 ， 明 确 责 任 。 

(2) 收集 资料 ， 围 绕 项 目的 范围 ， 收 集 相关 资 料 。 收 集 方法 包括 : 

Q@ 问卷 调查 。 

@ 对 各 级 人 员 进 行 访 谈 。 

@ 小 组 讨论 。 

@ 查阅 文档 〈 政 策 法 规 、 设 计 资料 、 操 作 指南 、 审 计 记 录 、 安 全 策略 、 应 急 预 案 、 以 
前 的 评估 结果 等 )。 

@ 现场 勘察 。 观 察 各 类 人 员 的 行为 、 环 境 状 况 和 操作 情形 ， 寻 找 不 良 行为 (如 违反 安 
全 策略 的 现象 )。 

(3) 材料 准备 。 为 风险 评估 过 程 设计 拟定 标准 化 的 表格 、 模 板 和 问卷 等 。 

3. 风险 分 析 

1) 确定 资产 

通常 用 资产 估计 来 确定 需要 保护 的 系统 的 价值 。 对 于 信息 系统 来 说 ， 可 以 用 “信息 资 
产 ” 来 描述 信息 化 的 成 果 。 通 常 信息 资产 可 以 认为 由 组 织 的 5 种 资产 组 成 。 

(1) 物理 资产 。 构 成 信息 系统 的 一 切 具 有 物理 形态 的 资产 都 称 为 物理 资产 ， 包 括 通信 
线路 、 通 信 设 备 、 工 作 站 、 服 务 器 、 终 端 和 存储 设备 等 。 

(2) 信息 资产 。 信 息 资产 是 相对 于 物理 资产 而 言 的 资产 ， 是 具有 信息 属性 的 资产 ， 包 
括 软件 以 及 各 种 信息 资源 《财务 信息 、 人 事 信息 、 业 务 信 息 、 计 划 信 息 、 设 计 信 息 以 及 系 
统 记 录 的 其 他 信息 等 )。 它 们 也 常 被 看 作 是 知识 资产 。 

(3) 时 间 资 产 。 时 间 也 是 一 种 宝贵 的 资产 。 

(4) 人 力 资源 。 人 力 资源 是 组 织 最 灵活 、 最 主动 的 资源 。 

(5) 信誉 〈 形 象 ) 资产 。 信 誉 是 组 织 宝贵 的 无 形 资产 。 信 誉 受到 损失 ， 组 织 的 形象 和 
可 信 度 将 会 不 佳 ， 愿 意 与 之 打交道 者 会 减少 。 

资产 的 形式 包括 以 下 儿 种 。 

@ 各 种 文档 。 包 括 数据 库 和 数据 文件 、 系 统 文件 、 用 户 手册 、 培 训 资 料 、 支 持 程 序 和 
应 急 计划 等 。 

@ 纸 质 文件 。 包 括 合同 、 策 略 方针 、 企 业 文 件 和 重要 商业 结果 等 。 

@ 软件 。 应 用 软件 、 系 统 软件 、 开 发 工具 和 公用 程序 等 。 

@ 物理 资产 。 

资产 的 确定 应 当 从 关键 业务 开始 ， 最 终 履 盖 所 有 关键 资产 。 在 实际 操作 时 ， 可 以 根据 
关键 业务 流程 确定 资产 清单 。 

得 到 完整 的 资产 清单 后 ， 要 进一步 确定 每 项 资产 的 价值 。 资 产 的 价值 用 资产 对 于 组 织 
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的 重要 性 或 敏感 度 衡量 。 为 了 保证 资产 评估 的 一 致 性 和 准确 性 ， 组 织 应 当 建 立 一 个 资产 评 
佑 标准， 对 资产 进行 等 级 划分 。 表 5.4 为 一 个 资产 敏感 度 等 级 划分 标准 范例 。 


表 5.4 一 个 资产 敏感 度 等 级 划分 标准 范例 


等 级 描述 

造成 灾难 性 损失 ， 导 致 组 织 停顿 ， 决 策 层 免职 

4 造成 重大 经 济 损失 ， 造 成 产品 和 服务 大 幅度 缩减 ， 形 象 受 损 ， 士 气 低落 
3 对 组 织造 成 引起 重视 的 损失 ， 市 场 有 一 定 程度 的 反映 ， 士 气 受 到 影响 
2 对 部 分 产品 或 服务 出 现 影响 ， 受 到 外 部 批评 


出 现 影响 ， 基 本 不 产生 负面 效应 





2) 脆弱 性 分 析 

(1) 脆弱 性 分 类 。 

Q@ 技术 性 脆弱 性 : 系统 软 硬 件 中 存在 的 漏洞 或 缺陷 。 

@ 操作 性 脆弱 性 : 系统 在 配置 、 操 作 、 使 用 中 的 缺陷 ， 包 括 操 作 人 员 的 不 良 习惯 、 缺 
乏 审 计 或 备份 等 。 

@ 管理 性 脆弱 性 : 组 织 结构 、 人 员 意 识 、 规 章 制度 和 策略 计划 等 方面 的 不 足 。 

(2) 脆弱 性 分 析 手 段 。 

Q@ 技术 性 脆弱 性 分 析 手 段 。 

。 采用 工具 进行 网 络 扫描 。 

。 主机 审计 。 采用 脚本 工具 或 人 工 方式 , 对 网 络 设 备 、 主 机 和 数据 库 进 行列 目 式 排查 。 

。 渗透 测试 。 人 工 模拟 黑客 攻击 ， 进 行 排查 。 

。 系统 分 析 。 进 行 网 络 结构 和 边界 分 析 。 

@ 非 技术 性 脆弱 性 分 析 主 要 采用 调查 表 、 查 看 文件 、 访 谈 和 现场 勘察 手段 进行 。 

3) 威胁 分 析 


威胁 是 对 系统 或 资产 的 保密 性 、 完 整 性 以 及 可 用 性 构成 潜在 损害 的 事件 。 威 胁 分 析 的 
目的 是 在 明晰 关键 资产 安全 需求 的 基础 上 ， 确 定 面临 的 威胁 ， 并 界定 发 生 威胁 的 可 能 性 以 
及 对 系统 或 资产 的 破坏 性 潜力 。 

(1) 威胁 源 分 类 。 

为 了 描述 方便 ， 对 威胁 源 要 进行 分 类 。 表 5.5 为 一 个 威胁 源 分 类 范例 。 

表 5.5 一 个 威胁 源 分 类 范例 














编号 名 称 描述 
1 | 不 可 抗 。 | 不 可 抗拒 的 自然 灾害 (地 震 、 风 风 等 )、 环 境 (电力 中 断 、 污 染 等 )、 政 治 、 战 争 等 
2 | ”组 织 薄弱 | 。 因 组 织 、 体 制 或 制度 缺陷 造成 的 安全 威胁 
3 | 入 为 失误 。 | ” 因 人 的 素质 、 技 能 等 形成 的 安全 威胁 
4 | ”技术 缺陷 。 | ” 因 技 术 缺陷 形成 的 安全 威胁 





5 恶意 行为 人 为 的 侵害 行为 
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(2) 威胁 确定 途径 。 

威胁 确定 可 以 通过 下 列 途径 进行 。 
Q( 查看 安全 策略 文档 。 

@ 业务 流程 分 析 。 

@ 网 络 拓扑 分 析 。 

@ 人 员 访 谈 。 

@ 入 侵 检 测 系统 收集 信息 分 析 。 
@ 人 工分 析 。 


4) 现 有 安全 控制 分 析 

对 于 现 有 【在 规划 中 的 或 已 经 实现 的 ) 安全 控制 措施 进行 分 析 的 目的 ， 是 通过 分 析 这 
些 控制 措施 减少 或 消除 一 个 威胁 源 利 用 系统 脆弱 性 的 可 能 性 。 

(1) 安全 控制 措施 的 类 型 。 

安全 控制 措施 按照 性 质 分 为 以 下 儿 种 。 

@ 管理 性 (administrative)。 包 括 安全 策略 、 程 序 管理 、 风 险 管 理 、 安 全 保障 和 系统 生 
命 周 期 管理 等 。 

@ 操作 性 (operational)。 包 括 人 员 职 责 、 应 急 响 应 、 事 件 处 理 、 意 识 教 育 、 系 统 支 持 
和 操作 、 物 理 和 环境 安全 等 。 

@ 技术 性 〈technical)。 加 密 、 认 证 、 访 问 控制 和 审计 等 。 

安全 控制 措施 按照 功能 分 为 以 下 几 种 。 

@ 预防 性 〈preventive)。 阻 止 对 安全 策略 的 犯罪 ， 包 括 访问 控制 、 加 密 和 认证 等 。 

@ 检测 性 〈detective)。 检 测 并 及 时 发 现 对 安全 策略 的 违犯 或 企图 ， 并 发 出 警告 ， 具 有 
一 定 威慑 性 〈deterrent)， 如 入 侵 检 测 、 审 计 跟 踪 、 校 验 和 、 蜜 饶 技 术 等 。 

(2) 安全 控制 措施 分 析 方法 。 

设计 一 个 安全 要 求 核对 表 ， 系 统 化 地 进行 有 效 分 析 ， 验 证 安全 是 否 与 既定 法 规 和 政策 


(3) 结果 。 

输出 信息 系统 已 经 实现 或 计划 实现 的 安全 控制 措施 清单 。 

5) 可 能 性 及 影响 分 析 

[能 性 〈likelihood) 和 影响 (impact) 是 威胁 的 两 个 属性 。 也 是 评估 风险 的 两 个 关键 因 
可 能 性 指 威胁 发 生 的 概率 ， 影 响 指 用 于 确定 风险 发 生 威胁 对 系统 资产 破坏 或 影响 的 


(1) 可 能 性 分 析 。 
可 能 性 分 析 是 对 威胁 发 生 的 概率 的 估计 ， 要 结合 威胁 源 的 动机 和 能 力 、 脆 弱 性 的 性 
质 、 安 全 控制 措施 的 存在 与 有 效 性 进行 综合 评估 。 通常 采用 经 验 分 析 或 定性 分 析 的 方法 确 
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定 。 为 便于 分 析 ， 应 当 制 定 一 个 威胁 的 可 能 性 等 级 标准 。 表 5.6 为 一 个 威胁 的 可 能 性 等 级 
范例 。 


表 5.6 一 个 威胁 的 可 能 性 等 级 范例 











等 级 名 称 描述 

A 频繁 大 多 数 情 况 下 会 发 生 
B 经 常 多 数 情 况 下 很 可 能 发 生 
宅 有 时 有 时 会 发 生 

D 很 少 有 时 可 能 发 生 

E 个 别 特殊 情况 下 发 生 








(2) 影响 分 析 。 

影响 分 析 已 经 在 确定 资产 阶段 用 资产 的 敏感 性 进行 了 描述 。 需 要 说 明 的 是 ， 影 响 分 析 
可 以 用 定性 和 定量 两 种 方法 进行 。 

定性 影响 分 析 只 用 级 别 描述 威胁 的 影响 ， 这 样 可 以 对 风险 进行 排序 ， 并 能 够 立即 对 那 
些 需 要 改善 的 环节 进行 标识 。 定 量 分 析 可 以 计算 影响 的 大 小 ， 以 便 用 成 本 效益 分 析 进 行 成 
本 控制 。 

6) 确定 安全 风险 

确定 安全 风险 的 目的 是 评估 信息 系统 的 安全 风险 级 别 。 

(1) 风险 级 别 和 措 

信息 系统 风险 级 别 最 多 划分 为 4 级 ， 并 可 以 用 颜色 表示 ， 如 表 5.7 所 示 。 

表 5.7 信息 系统 风险 级 别 和 行动 措施 
建议 的 行动 措施 
立即 采取 措施 ， 避免、 转移 、 降 低 
需要 尽快 部 署 行动 : 避免 、 转 移 、 降 低 
必须 在 一 个 合理 的 时 间 段 内 制订 一 个 计划 实施 行动 : 避免 、 接 受 、 转 移 、 降 低 
按 常规 处 理 : 避免 、 接 受 、 转 移 、 降 低 


















(2) 风险 级 别 矩阵 。 

将 风险 的 可 能 性 (概率 ) 与 威胁 的 级 别 相 乘 ， 可 以 得 到 最 终 使 命 风 险 ， 从 而 可 以 得 到 
风险 矩阵 。 表 5.8 为 一 个 计算 范例 。 

(3) 确定 风险 尺度 。 

例如 , 对 风险 级 别 作 如 下 定义 : E 为 4.5 一 5.0, H 为 3.5~4.5, M 为 1.0~3.5, 工 为 0.1~ 
1.0。 

按照 风险 级 别 的 上 述 定 义 ， 将 风险 级 别 符号 标 进 风险 和 矩阵， 得 到 的 结果 如 表 5.9 所 示 。 
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表 5.8 ”一 个 风险 矩阵 计算 范例 


























影 响 

可 能 性 微 小 i 大 巨 

1 法 3 4 5 
A (1.0) 1.0 2.0 3.0 4.0 5.0 
B (0.7) 07 2.8 3.5 
C (0.5) 0.5 2.0 人 
D (0.3) 0.3 1.2 345 
E (0.1) ol 0.4 0.5 
可 能 性 微 大 巨 

1 2 3 4 5 
A (10) M (10) H (4.0) E (5.0) 
B (0.7) L (07) M (2.8) H (3.5) 
Gd i I ey 
D (03) L (03) M (12) M (1.5) 
E (0.1) L (0.D) L (0.4) L (0.5) 


7) 形成 评估 
风险 评估 报告 内 容 一 般 包 括 以 下 几 部 分 。 
(1) 概述 : 评估 目的 、 方 法 和 过 程 等 。 





(2) 评估 结果 : 包 插 资产、 威胁、 脆弱 性 、 现 有 安全 控制 措施 等 级 和 风险 评估 等 。 


(3) 安全 控制 建议 和 备 选 解决 方案 。 


前 两 项 的 内 容 已 经 介绍 过 了 ， 在 对 安全 控制 建议 和 备 选 解决 方案 提出 建议 时 应 当 考虑 


的 内 容 如 下 。 
@ 建议 的 选项 在 兼容 性 等 方面 的 有 效 性 。 
@ 与 法 律 法 规 的 符合 
@ 组 织 及 策略 方面 的 可 接受 性 。 
@ 对 运行 的 影响 。 
@ 安全 性 和 可 靠 性 。 


5.4.4 ”信息 系统 渗透 测试 


一 般 说 来 ， 渗 透 测试 (penetration test) 是 一 种 通过 模拟 恶意 攻击 者 
败 目 标 系统 的 安全 控制 措施 ， 取 得 访问 控制 权 ， 并 发 现 具备 业务 影 
安全 测试 与 评估 方式 。 这 种 方法 源 于 军事 演习 ，20 世纪 90 年 代 时 ， 由 美 


局 引入 到 对 信息 网 络 与 信息 安全 基础 设施 的 实际 攻防 测试 过 程 中 。 
实施 渗透 测试 一 般 需 要 对 目标 系统 进行 主动 探测 分 析 ， 以 发 现 潜在 的 系统 漏洞 ， 包 括 不 





国 军 


的 技术 与 方法 ， 挫 
多 响 后 果 安 全 隐患 的 一 种 





FE 方 与 国家 安全 
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恰当 的 系统 配置 、 已 知 或 未 知 的 软 硬 件 漏洞 以 及 在 安全 计划 与 响应 过 程 中 的 操作 性 弱点 等 。 

1. 渗透 测试 方法 

1) 黑箱 测试 

黑箱 测试 (black-box testing) 又 称 为 zero-knowledge testing。 采 用 这 种 方式 时 ， 渗 透 测 
试 团队 将 从 一 个 远程 网 络 位 置 来 评估 目标 网 络 基础 设施 ， 并 没有 任何 目标 网 络 内 部 拓扑 等 
相关 信息 ， 完 全 处 于 对 系统 一 无 所 知 的 状态 。 他 们 完全 模拟 真实 网 络 环 境 中 的 外 部 攻击 者 ， 
采用 流行 的 攻击 技术 与 工具 ， 有 组 织 有 步骤 地 对 目标 组 织 进行 逐步 的 渗透 与 入 侵 ， 揭 示 目 
标 网 络 中 一 些 已 知 或 未 知 的 安全 漏洞 ， 并 评估 这 些 漏洞 能 和 否 被 用 来 获取 控制 权 或 造成 业务 
资产 的 损失 。 所 以 这 种 测试 方法 又 称 为 外 部 测试 〈external testing )。 
黑 盒 测试 还 可 以 对 目标 组 织 内 部 安全 团队 的 检测 与 响应 能 力 做 出 评估 。 在 测试 结束 之 
后 ， 黑 盒 测试 会 对 发 现 的 目标 系统 安全 漏洞 、 所 识别 的 安全 风险 及 其 业务 影响 评估 等 信息 
进行 总 结 和 报告 。 

2) 白 盒 测试 
白 盒 测试 white-box testing) 也 称 为 内 部 测试 〈internal testing)。 进 行 白 盒 测试 需要 事 
先 了 解 关 于 目标 环境 的 所 有 内 部 与 底层 状况 ， 因 此 可 以 让 渗透 测试 者 以 最 小 的 代价 发 现 和 
验证 系统 中 最 严重 的 安全 漏洞 。 如 果实 施 到 位 ， 白 盒 测试 能 够 比 黑 盒 测试 消除 更 多 的 目标 
基础 设施 环境 中 的 安全 漏洞 与 弱点 ， 从 而 给 客户 组 织带 来 更 大 的 价值 。 这 类 测试 通常 用 于 
模拟 企业 内 部 雇员 的 越权 操作 。 

3) 灰 盒 测 试 

灰 盒 测试 〈grey-box testing) 是 对 黑 盒 测 试 和 白 盒 测试 两 种 基本 类 型 的 组 合 。 采 用 灰 盒 
测试 可 以 提供 对 目标 系统 更 加 深入 和 全 面 的 安全 审查 ， 能 够 同时 发 挥 两 种 基本 类 型 渗透 测 
试 方法 的 各 自 优 势 。 这 种 测试 也 称 为 隐秘 测试 ， 是 被 测 单位 仅 有 极 少 数 人 知晓 测试 存在 的 
方法 ， 因 此 能 够 有 效 地 检验 单位 中 的 信息 安全 事件 监控 、 响 应 、 恢 复 做 得 是 否 到 位 。 

2. 渗透 目标 

1) 主机 操作 系统 渗透 

对 Windows、Linux 等 操作 系统 本 身 进行 渗透 测试 。 

2) 数据 库 系统 渗透 

对 MS-SQL、Oracle、MySQL 等 数据 库 应 用 系统 进行 渗透 测试 。 

3) 应 用 系统 渗透 

对 渗透 目标 提供 的 各 种 应 用 ， 如 ASP、JSP、PHP 等 组 成 的 WWW 应 用 进行 渗透 测试 。 

4) 网 络 设备 渗透 

对 各 种 防火 墙 、 入 侵 检测 系统 、 网 络 设 备 进行 渗透 测试 。 





< 
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5) 不 同 网 段 /VLAN 之 间 的 渗透 

这 种 渗透 方式 是 从 某 内 /外 部 网 段 ， 尝 试 对 另 一 网 段 /VLAN 进行 渗透 。 这 类 测试 通常 可 
能 用 到 的 技术 包括 对 网 络 设备 的 远程 攻击 、 对 防火 墙 的 远程 攻击 或 规则 探测 以 及 规避 尝试 。 

3. 渗透 测试 手段 

1) 内 网 测试 

内 网 测试 指 的 是 渗透 测试 人 员 由 内 部 网 络 发 起 测试 ， 这 类 测试 能 够 模拟 企业 内 部 违规 
操作 者 的 行为 。 最 主要 的 “优势 ”是 绕 过 了 防火 墙 的 保护 。 内 部 主要 可 能 采用 的 渗透 方式 
包括 远程 缓冲 区 溢出 、 口 令 猜 测 以 及 B/S 或 C/S 应 用 程序 测试 (如 果 涉 及 C/S 程序 测试 
需要 提前 准备 相关 客户 端 软 件 供 测试 使 用 )。 

2) 外 网 测试 

外 网 测试 指 的 是 渗透 测试 人 员 完 全 处 于 外 部 网 络 〈 例 如 拨号 、ADSL 或 外 部 光纤 )， 模 
拟 对 内 部 状态 一 无 所 知 的 外 部 攻击 者 的 行为 。 包 括 对 网 络 设备 的 远程 攻击 ， 口 令 管理 安全 
性 测试 ， 防 火 墙 规则 试探 和 规避 ，Web 及 其 他 开放 应 用 服务 的 安全 性 测试 。 

3) 端口 扫描 

通过 对 目的 地 址 的 TCP/UDP 端口 扫描 ， 确 定 其 所 开放 的 服务 的 数量 和 类 型 ， 这 是 所 有 
渗透 测试 的 基础 。 通 过 端口 扫描 ， 可 以 基本 确定 一 个 系统 的 基本 信息 ， 结 合 安全 工程 师 的 
经 验 可 以 确定 其 可 能 存在 以 及 被 利用 的 安全 弱点 ， 为 进行 深层 次 的 渗透 提供 依据 。 

4) 远程 溢出 

这 是 当前 出 现 的 频率 最 高 、 威 胁 最 严重 ， 同 时 又 是 最 容易 实现 的 一 种 渗透 方法 ， 一 个 
具有 一 般 网 络 知识 的 入 侵 者 就 可 以 在 很 短 的 时 间 内 利用 现成 的 工具 实现 远程 溢出 攻击 。 

对 于 防火 墙 内 的 系统 同样 存在 这 样 的 风险 ， 只 要 对 跨 接 防火 墙 内 外 的 一 台 主 机 攻击 成 
功 ， 那 么 通过 这 台 主 机 对 防火 墙 内 的 主机 进行 攻击 就 易如反掌 。 

5) 本 地 溢出 

本 地 溢出 是 指 在 拥有 了 一 个 普通 用 户 的 账号 之 后 ， 通 过 一 段 特殊 的 指令 代码 获得 管理 
员 权限 的 方法 。 使 用 本 地 溢出 的 前 提 是 首先 要 获得 一 个 普通 用 户 密码 。 也 就 是 说 ， 导 致 本 
地 溢出 的 一 个 关键 条 件 是 设置 不 当 的 密码 策略 。 

多 年 的 实践 证 明 ， 在 经 过 前 期 的 口令 猜测 阶段 获取 的 普通 账号 登录 系统 之 后 ， 对 系统 
实施 本 地 溢出 攻击 ， 就 能 获取 不 进行 主动 安全 防御 的 系统 的 控制 管理 权限 。 

6) 口令 猜测 

口令 猜测 也 是 一 种 出 现 概率 很 高 的 风险 ， 几 乎 不 需要 任何 攻击 工具 ， 利 用 一 个 简单 的 
暴力 攻击 程序 和 一 个 比较 完善 的 字典 就 可 以 猜测 口令 。 

对 一 个 系统 账号 的 猜测 通常 包括 两 个 方面 : 首先 是 对 用 户 名 的 猜测 ， 其 次 是 对 密码 的 
猜测 。 
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7) 脚本 及 应 用 测试 

Web 脚本 及 应 用 测试 专门 针对 Web 及 数据 库 服 务 器 进行 。 根 据 最 新 的 技术 统计 ， 脚 本 
安全 弱点 为 当前 Web 系统 ， 尤 其 是 存在 动态 内 容 的 Web 系统 比较 严重 的 安全 弱点 之 一 。 利 
用 脚本 相关 弱点 轻 则 可 以 获取 系统 其 他 目录 的 访问 权限 ， 重 则 将 有 可 能 取得 系统 的 控制 权 
限 。 因 此 对 于 含有 动态 页 面 的 Web、 数 据 库 等 系统 ，Web 脚本 及 应 用 测试 将 是 必 不 可 少 的 
一 个 环节 。 在 Web 脚本 及 应 用 测试 中 ， 可 能 需要 检查 的 部 分 包括 如 下 。 

(1) 检查 应 用 系统 架构 ， 防 止 用 户 绕 过 系统 直接 修改 数据 库 。 

(2) 检查 身份 认证 模块 ， 防 止 非法 用 户 绕 过 身份 认证 。 

(3) 检查 数据 库 接口 模块 ， 防 止 用 户 获取 系统 权限 。 

(4) 检查 文件 接口 模块 ， 防 止 用 户 获取 系统 文件 。 

(5) 检查 其 他 安全 威胁 。 

8) 无 线 网 络 测试 

通过 对 无 线 网 络 的 测试 ， 可 以 判断 企业 局 域 网 的 安全 性 ， 已 经 成 为 越 来 越 重要 的 渗透 
测试 环节 。 

除了 上 述 测试 手段 外 ， 还 有 一 些 可 能 会 在 渗透 测试 过 程 中 使 用 的 技术 ， 包 括 社 交工 程 
学 、 拒 绝 服务 攻击 以 及 中 间 人 攻击 。 

4. 渗透 测试 流程 

渗透 测试 一 般 包括 如 下 7 个 阶段 。 

1) 前 期 交互 阶段 

在 前 期 交互 (pre-engagement interaction) 阶段， 渗透 测试 团队 要 与 客户 组 织 进行 交互 
讨论 ， 收 集 客户 需求 ， 准 备 测试 计划 ， 定 义 测试 范围 、 边 界 和 限制 条 件 ， 定 义 业务 目标 、 
项 目 管理 与 规划 ， 讨 论 服 务 合同 细节 等 。 

2) 情报 搜集 阶段 

情报 搜集 (information gathering) 是 在 日 标 范围 确定 之 后 ， 进 行 尝试 获取 更 多 关于 日 标 
组 织 网 络 拓扑 、 系 统 配置 与 安全 防御 措施 信息 的 活动 。 

对 目标 系统 的 情报 探查 能 力 是 渗透 测试 者 的 一 项 非常 重要 的 技能 ， 情 报 搜集 是 否 充分 
在 很 大 程度 上 决定 了 渗透 测试 的 成 败 。 所 以 在 这 个 阶段 ， 渗 透 测 试 团 队 要 尽力 利用 各 种 信 
息 来 源 与 搜集 技术 方法 ,包括 公开 来 源 信息 查询 、Google Hacking、 社 会 工程 学 、 网 络 踩点 、 
扫描 探测 、 被 动 监听 和 服务 查 点 等 。 

3) 威胁 建 模 阶段 

在 搜集 到 充分 的 情报 信息 后 ， 渗 透 测 试 团 队 将 集思广益 ， 通 过 绩 密 的 情报 分 析 ， 进 入 
威胁 建 模 (threat modeling)、 制 定 攻 击 规划 阶段 。 

4) 漏洞 分 析 阶 段 

漏洞 分 析 (vulnerability analysis) 阶段 的 工作 是 在 确定 出 最 可 行 的 攻击 通道 之 后 ， 在 前 
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几 个 阶段 获取 的 情报 信息 ， 特 别 是 在 安全 漏洞 扫描 结果 、 服 务 查 点 信息 等 基础 上 ， 通 过 搜 
索 可 获取 的 渗透 代码 资源 ， 找 出 可 以 实施 渗透 攻击 的 攻击 点 ， 并 在 实验 环境 中 进行 攻击 模 
拟 。 高 水 平 的 渗透 测试 团队 还 会 针对 攻击 通道 上 的 一 些 关 键 系统 与 服务 进一步 进行 安全 漏 
洞 探测 与 挖掘 ， 找 出 可 被 利用 的 未 知 安全 漏洞 ， 并 开发 出 渗透 代码 ， 打 开 攻 击 通 道上 的 关 
键 路 径 。 

在 这 个 环节 中 ， 需 要 渗透 测试 团队 根据 目标 组 织 的 业务 经 营 模式 、 保 护 资 产 形式 与 安 
全 防御 计划 的 不 同 特点 ， 自 主 设计 出 攻击 目标 ， 识 别 关键 基 础 设施 ， 并 寻找 客户 组 织 最 具 
价值 和 尝试 安全 保护 的 信息 和 资产 ， 最 终 达 成 能 够 对 客户 组 织造 成 最 重要 业务 影响 的 攻击 
途径 。 

5) 渗透 攻击 阶段 

在 渗透 攻击 (exploitation〉 将 实施 真正 的 入 侵 ， 获 得 访问 控制 权 。 

6) 后 渗透 攻击 阶段 

在 后 渗透 攻击 (post exploitation) 阶段 ， 渗 透 测试 团队 要 根据 测试 目的 、 收 集 的 信息 和 
测试 结果 ， 对 系统 的 安全 状况 进行 科学 的 评价 ， 并 评估 自己 的 渗透 攻击 ， 查 找 不 足 。 若 有 
不 足 或 遗漏 ， 应 返回 到 威胁 建 模 阶段 进行 弥补 。 

7) 渗透 测试 报告 撰写 阶段 

渗透 测试 报告 (reporting) 是 提交 给 用 户 的 最 终 成 果 ， 内 容 包括 所 有 阶段 中 渗透 测试 团 
队 所 获取 的 关键 情报 信息 、 探 测 和 发 据 出 的 系统 安全 漏洞 、 成 功 渗透 攻击 的 过 程 ， 以 及 造 
成 业务 影响 后 果 的 攻击 途径 ， 同 时 还 要 站 在 防御 者 的 角度 ， 帮 助 客户 分 析 安 全 防御 体系 中 
的 薄弱 环节 以 及 存在 的 问题 ， 给 出 系统 加 固 建议 。 

通常 也 把 前 4 个 阶段 称 为 预 攻击 阶段 ， 把 第 5 个 阶段 称 为 预 攻击 阶段 ， 把 最 后 两 个 阶 
段 称 为 后 攻击 阶段 。 


5. 渗透 测试 的 实施 


渗透 测试 是 按照 黑客 攻击 的 思路 进行 的 攻击 性 测试 ， 每 个 阶段 、 对 于 不 同 的 部 位 的 攻 
击 ,都 可 以 采用 已 有 的 攻击 工具 进行 。 图 5.5 给 出 实施 渗透 测试 所 进行 的 有 关 攻 击 的 目标 及 
其 使 用 的 工具 。 


5.4.5 ”信息 系统 安全 审计 
1. 信息 系统 安全 审计 及 其 功能 


审计 (audit) 是 按照 一 定 的 标准 对 于 一 个 过 程 所 进行 的 监督 和 评价 机 制 。 审 计 的 执行 
是 以 确定 有 效 性 和 可 靠 性 的 信息 为 依据 ， 以 检查 、 验 证 目标 的 准确 性 和 完整 性 为 目的 。 信 
息 系统 审计 是 一 个 通过 收集 和 评价 审计 证 据 ， 对 信息 系统 是 否 能 够 保护 资产 的 安全 、 维 护 
数据 的 完整 、 使 被 审计 单位 的 目标 得 以 有 效 地 实现 、 使 组 织 的 资源 得 到 高 效 地 使 用 等 方面 
做 出 判断 的 过 程 ， 其 目标 是 协助 组 织 的 信息 技术 管理 人 员 有 效 地 履行 其 责任 ， 以 达成 组 织 
的 信息 技术 管理 目标 。 组 织 的 信息 技术 管理 目标 是 保证 组 织 的 信息 技术 战略 ， 充 分 反映 组 
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whois 
ping 
信息 收集 4 traceroute 
http 
netcraft 
nmap 
端口 扫描 | superscan 


sl 


常规 信息 获取 方式 


预 攻击 阶段 Nessus( 动 画展 示 ) 
沁 洞 扫描 (ews( 翅 


搜索 引 每 《Google 
社会 工程 学 
缓冲 区 滋 出 { 


黑客 通常 的 攻击 思路 与 操作 , 
攻击 阶段 | 口令 儿 测 


远程 溢出 
本 地 溢出 
SQL 注入 
应 用 攻击 | 工具 { SPIREPR 
实验 (Webgoat) 
特洛伊 木马 
后 攻击 阶段 和 嗅 探 
密码 破解 
图 5.5 实施 渗透 测试 所 进行 的 有 关 攻 击 目标 及 其 使 用 的 工具 


织 的 业务 战略 目标 ， 提 高 组 织 所 依赖 的 信息 系统 的 可 靠 性 、 稳 定性 、 安 全 性 及 数据 处 理 的 
完整 性 和 准确 性 ， 提 高 信息 系统 运行 的 效果 与 效率 ， 保 证 信息 系统 的 运行 符合 法 律 、 法 规 
及 监管 的 相关 要 求 。 

国际 通用 的 CC 准则 〈 即 ISO/IEC 15408-2:1999《 信 息 技术 安全 性 评估 准则 》) 中 对 信 
息 系统 安全 审计 (Information System Security Audit，ISSA) 给 出 了 明确 定义 : 信息 系统 安 
全 审计 主要 指 对 与 安全 有 关 的 活动 的 相关 信息 进行 识别 、 记 录 、 存 储 和 分 析 ; 审计 记录 的 
结果 用 于 检查 网 络 上 发 生 了 哪些 与 安全 有 关 的 活动 ， 谁 “哪个 用 户 〉 对 这 个 活动 负责 ， 主 
要 功能 包括 安全 审计 自动 响应 、 安 全 审计 数据 生成 、 安 全 审计 分 析 、 安 全 审计 浏览 、 安 全 
审计 事件 选择 和 安全 审计 事件 存储 等 。 

简单 地 说 ， 安 全 审计 应 当 具 有 下 面 的 功能 。 

(1) 记录 关键 事件 。 关 于 关键 事件 的 界定 由 安全 官员 决定 。 

(2) 对 潜在 的 攻击 者 进行 威慑 或 警告 。 

(3) 为 系统 安全 管理 员 提 供 有 价值 的 系统 使 用 日 志 ， 帮 助 系统 管理 员 及 时 发 现 入 侵 行 
为 和 系统 漏洞 ， 使 安全 管理 人 员 可 以 知道 如 何 对 系统 安全 进行 加 强 和 改进 。 

(4) 为 安全 官员 提供 一 组 可 供 分 析 的 管理 数据 ， 用 于 发 现 何 处 有 违反 安全 方案 的 事件 ， 
并 可 以 根据 实际 情形 调整 安全 政策 。 


2. 信息 系统 安全 审计 的 基本 内 容 
1) 组 织 控制 审计 
组 织 控制 审计 包括 如 下 内 容 。 
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(1) 了 解 被 审计 单位 的 组 织 结构 、 人 员 分 工 、 业 务 授权 和 职责 分 离 等 情况 。 

(2) 审查 组 织 控制 措施 是 否 健全 ， 是 否 制定 了 完善 的 工作 制度 和 岗位 职责 ， 是 否 落实 
了 岗位 责任 制 和 风险 防范 责任 ， 是 否 建立 了 内 部 监督 机 制 和 考核 机 制 等 。 

2) 安全 控制 审计 

安全 控制 审计 包括 如 下 内 容 。 

(1) 环境 控制 审计 ， 包 括 是 否 为 信息 系统 的 硬件 设备 提供 适合 的 工作 环境 ， 保 证 设备 
正常 运转 。 

(2) 技术 安全 控制 审计 ， 包 括 是 否 通 过 加 密 技术 限制 未 经 授权 的 人 员 接 触 机 密 数据 和 
文件 ， 是 否 有 系统 硬 软件 和 数据 文件 的 灾难 补救 计划 ， 是 否定 期 或 在 重要 操作 前 对 数据 进 
行 备份 ， 以 减少 意外 导致 损失 的 可 能 性 。 

3) 部 位 安全 审计 


部 位 安全 审计 包括 以 下 儿 种 审计 。 
(1) 系统 设备 的 安全 审计 。 

(2) 操作 系统 安全 的 审计 。 

(3) 网 络 及 其 应 用 的 安全 审计 。 
(4) 数据 库 系统 安全 审计 。 

(5) 应 用 系统 的 安全 审计 。 

(6) 环境 安全 审计 。 

4) 信息 系统 威胁 审计 

信息 系统 威胁 审计 包括 以 下 几 种 审计 。 
(1) 对 来 自 外 部 攻击 的 审计 。 
(2) 对 来 自 内 部 攻击 的 审计 。 

5) 对 电子 数据 的 安全 审计 

3. 信息 系统 安全 审计 的 基本 步骤 


(1) 编制 组 织 使 用 的 信息 系统 清单 并 对 其 进行 分 类 。 

(2) 决定 哪些 系统 影响 关键 功能 和 资产 。 

(3) 评估 哪些 风险 影响 这 些 系统 及 对 商业 运作 的 冲击 。 

(4) 在 上 述评 估 的 基础 上 对 系统 分 级 ， 决 定 审计 优先 值 、 资 源 、 进 度 和 频率 。 审 计 者 
可 以 制订 年 度 审计 计划 ， 开 列 出 一 年 之 中 要 进行 的 审计 项 目 。 

4. 信息 系统 安全 审计 工具 

审计 可 以 采用 如 下 一 些 工具 。 

(1) 检验 表 : 是 为 审计 工作 标准 化 提供 的 一 种 简捷 的 工具 。 主 要 分 为 3 类 。 


@ 审计 检验 表 。 可 以 分 为 被 审 部 门 校 验 (检查 ) 表 (分 为 审计 项 目 、 审 计 方 法 和 审计 
结论 列表 ) 和 审计 条 款 校 验 〈 检 查 ) 表 《〈 分 为 责任 部 门 、 审 计 内 容 、 检 查 方式 和 审计 结论 
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列表 ) 等 。 
@ 设置 检验 表 。 
@ 漏洞 检验 表 。 
(2) 扫描 工具 : 进行 IP、 端 口号 和 漏洞 扫描 。 
(3) 完整 性 检验 工具 : 进行 完整 性 保护 检验 ， 如 Triwire 等 。 
(4) 渗透 测试 工具 。 


5.5 ”信息 系统 安全 测评 准则 
任何 信息 系统 的 安全 需求 都 不 是 无 限 的 ， 因 为 无 限 的 需求 需要 无 限 的 投入 。 因 此 对 于 
信息 系统 的 安全 确立 一 个 评价 准则 非常 必要 。 
5.5.1 国际 信息 安全 测评 准则 
世界 上 最 早 的 计算 机 系统 安全 标准 是 美国 国防 部 于 1979 年 6 月 25 日 发 布 的 军 标 DoD 
5200.28-M。 在 此 基础 上 , 美国 国防 部 于 1983 年 发 布 可 信 计 算 机 系统 评价 准则 TCSEC (1985 


年 发 布 正式 版 )， 又 称 为 橘 皮 书 。 以 后 ， 许 多 国家 和 国际 组 织 也 相继 提出 了 新 的 安全 评价 准 
则 。 图 5.6 所 示 为 国际 主要 信息 技术 安全 测评 标准 的 发 展 及 其 联系 。 
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图 5.6 国际 主要 信息 技术 安全 测评 标准 的 发 展 及 其 联系 


在 信息 安全 等 级 标准 中 ， 一 个 非常 重要 的 概念 是 可 信 计 算 基 (Trusted Computer Base， 
TCB)。TCB 是 计算 机 系统 赖 以 实施 安全 性 的 一 切 设施 ， 包 括 硬 件 、 固 件 、 软 件 和 负责 安全 
策略 的 组 合 。 它 们 根据 安全 策略 来 处 理 主体 〈 系 统管 理 员 、 安 全 管理 员 、 用 户 和 进程 ) 对 
客体 〈 进 程 、 文 件 、 记 录 和 设备 等 ) 的 访问 ， 通 常 包括 下 列 部 分 。 

(1) 操作 系统 的 安全 内 核 。 

(2) 具有 特权 的 程序 和 命令 。 

(3) 处 理 敏 感 信息 的 程序 ， 如 系统 管理 命令 等 。 

(4) 与 TCB 实施 安全 策略 有 关 的 文件 。 

(5) 其 他 有 关 的 固件 、 硬 件 和 设备 。 

(6) 负责 系统 管理 的 人 员 。 

(7) 保障 固件 和 硬件 正确 的 程序 和 诊断 软件 。 
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(8) 具有 抗 算 改 的 性 能 和 易于 分 析 与 测试 的 结构 。 
1. DoD 5200.28-M 


DoD 5200.28-M 为 计算 机 系统 定义 了 4 种 不 同 的 运行 模式 。 

(1) 受 控 的 安全 模式 : 系统 用 户 对 系统 的 机 密 资 料 的 访问 控制 没有 在 操作 系统 中 实现 ， 
安全 的 实现 可 以 通过 控制 用 户 对 计算 机 的 操作 权限 等 管理 措施 实现 。 

(2) 自主 安全 模式 : 计算 机 系统 和 外 围 设备 可 以 在 指定 用 户 或 用 户 群 的 控制 下 工作 
该 类 用 户 了 解 并 可 自主 地 设置 机 密 资料 的 类 型 与 安全 级 别 。 

(3) 多 级 安全 模式 : 系统 允许 不 同 级 别 和 类 型 的 机 密 资料 并 存 和 并 发 处 理 ， 并 且 有 选 
择 地 许可 不 同 的 用 户 对 存储 数据 进行 访问 。 用 户 与 数据 的 隔离 控制 由 操作 系统 和 相关 系统 
软件 实现 。 

(4) 强 安全 模式 : 所 有 系统 部 件 依 照 最 高 级 别 类 型 得 到 保护 ， 所 有 系统 用 户 必 须 有 一 
个 安全 策略 ， 系 统 的 控制 操作 对 用 户 透明 ， 由 系统 实现 对 机 密 资料 的 并 发 控制 。 





2. TCSEC 


TCSEC 是 计算 机 系统 安全 评价 的 第 一 个 正式 标准 ， 于 1970 年 由 美国 国防 科学 技术 委 
员 会 提出 ， 于 1985 年 12 月 由 美国 国防 部 公布 。TCSEC 把 计算 机 系统 的 安全 分 为 如 下 4 等 
7 级 。 

1) D 等 ( 含 1 级 ) 

D1 级 系统 : 最 低级 。 只 为 文件 和 用 户 提供 安全 保护 。 

2) C 等 ( 含 2 级 ) 

C1 级 系统 : 可 信 计 算 基 通过 用 户 和 数据 分 开 来 达到 安全 目的 ， 使 所 有 的 用 户 都 以 同样 
的 灵敏 度 处 理 数据 (可 认为 所 有 文档 有 相同 的 机 密 性 )。 

C2 级 系统 : 在 C1 级 的 基础 上 ， 通 过 登录 、 安 全 事件 和 资源 隔离 增强 可 调 的 审慎 控制 。 
在 连接 到 网 上 时 ， 用 户 分 别 对 自己 的 行为 负责 。 

3) B 等 ( 含 3 级 ) 

B 级 具有 强制 性 保护 功能 。 强 制 性 意味 着 在 没有 与 安全 等 级 相连 的 情况 下 ， 系 统 就 不 
会 让 用 户 存 取 对 象 。 

B1 级 系统 要 求 如 下 。 

(1) 对 每 个 对 象 都 进行 灵敏 度 标记 ， 导 入 非 标 记 对 象 前 要 先 标记 它们 。 

(2) 用 灵敏 度 标记 作为 强制 访问 控制 的 基础 。 

(3) 灵敏 度 标 记 必须 准确 地 表示 其 所 联系 的 对 象 的 安全 级 别 。 

(4) 系统 必须 使 用 用 户口 令 或 身份 认证 来 决定 用 户 的 安全 访问 级 别 。 

(5) 系统 必须 通过 审计 来 记录 未 授权 访问 的 企图 。 

B2 级 系统 要 求 如 下 。 

(1) 必须 符合 B1 级 系统 的 所 有 要 求 。 
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(2) 系统 管理 员 必 须 使 用 一 个 明确 的 、 文 档 化 的 安全 策略 模式 作为 系统 可 信任 运算 基 
础 体制 ， 可 信任 运算 基础 体制 能 够 支持 独立 的 操作 者 和 管理 员 。 

(3) 只 有 用 户 能 够 在 可 信任 通信 路 径 中 进行 初始 化 通信 。 

(4) 所 有 与 用 户 相 关 的 网 络 连接 的 改变 必须 通知 所 有 的 用 户 。 

B3 级 系统 具有 很 强 的 监视 委托 管理 访问 能 力 和 抗 干扰 能 力 。 要 求 如 下 。 

(1) 必须 符合 B2 级 系统 的 所 有 安全 需求 。 

(2) 必须 设 有 安全 管理 员 。 

(3) 除 控制 个 别 对 象 的 访问 外 ， 必 须 产生 一 个 可 读 的 安全 列表 ， 每 个 被 命名 的 对 象 提 
供 对 该 对 象 没 有 访问 的 用 户 列表 说 明 。 

(4) 系统 验证 每 一 个 用 户 身 份 ， 并 会 发 送 一 个 取消 访问 的 审计 跟踪 消息 。 

(5) 设计 者 必须 正确 区 分 可 信任 路 径 和 其 他 路 径 。 

(6) 可 信任 的 通信 基础 体制 为 每 一 个 被 命名 的 对 象 建立 安全 审计 跟踪 。 

(7) 可 信任 的 运算 基础 体制 支持 独立 的 安全 管理 。 

4) A 等 (只 含 1 级 ) 

Al 级 : 最 高 安全 级 别 。Al 级 与 B3 级 相似 ， 对 系统 的 结构 和 策略 不 作 特 别 要 求 ， 而 系 
统 的 设计 者 必须 按照 一 个 正式 的 设计 规范 进行 系统 分 析 ; 分 析 后 必须 用 核对 技术 确保 系统 
符合 设计 规范 。Al 级 系统 必须 满足 如 下 要 求 。 

(1) 系统 管理 员 必 须 接收 到 开发 者 提供 的 安全 策略 正式 模型 。 

(2) 所 有 的 安装 操作 都 必须 由 系统 管理 员 进行 。 

(3) 系统 管理 员 进行 的 每 一 步 安 装 操 作 必 须 有 正式 的 文档 。 

TCSEC 的 初衷 主要 是 针对 集中 式 计算 的 分 时 多 用 户 操作 系统 。 后 来 又 针对 网 络 〈 分 布 
式 ) 和 数据 库 管 理 系统 (C/S 结构 ) 补充 了 一 些 附加 说 明和 解释 ， 典 型 的 有 可 信 计 算 机 网 络 
系统 说 明 (NCSC-TG-005) 和 可 信 数 据 库 管理 系统 解释 等 。 


3. 欧 共 体 信息 技术 安全 评价 准则 ITSEC 

ITSEC 是 欧 共 体 于 1991 年 发 布 的 ， 它 是 欧洲 多 国安 全 评价 方法 的 综合 产物 ， 应 用 领域 
为 军队 、 政 府 和 商业 。 该 标准 将 安全 的 概念 分 为 功能 和 评估 两 部 分 。 

1) 功能 准则 

分 为 10 级 : F1~F10。 

(1) F1~F5 对 应 TCSEC 的 C1 等 一 A 等 。 

(2) F6~F10 对 应 数据 和 程序 的 完整 性 、 系 统 的 可 用 性 、 数 据 通信 的 完整 性 和 保密 性 。 

2) 评估 准则 

分 为 6 级 ， 分 别 是 测试 、 配 置 控制 和 可 控 的 分 配 、 详 细 设计 和 编码 、 详 细 的 脆弱 性 分 
析 、 设 计 与 源 代码 明显 对 应 以 及 设计 与 源 代码 在 形式 上 的 一 致 。 
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4. 加 拿 大 可 信 计 算 机 产品 安全 评价 准则 CTCPEC 


CTCPEC 是 加 拿 大 于 1993 年 发 布 的 。 它 综合 了 TCSEC 和 ITSEC 两 个 准则 的 优点 ， 专 
门 针对 政府 需求 设计 。 它 将 安全 分 为 功能 性 需求 和 保证 性 需求 两 部 分 。 功 能 性 需求 分 为 4 
大 类 。 

(1) 机 密 性 。 

(2) 可 用 性 。 

(3) 完整 性 。 

(4) 可 控 性 。 

每 一 类 安全 需求 又 分 为 一 些小 类 (分 级 条 数 0 一 5)， 以 表示 安全 性 上 的 差别 。 


5. 美国 信息 技术 安全 评价 联邦 准则 FC 


FC 也 吸收 了 TCSEC 和 ITSEC 两 个 准则 的 优点 ， 于 1993 年 发 布 的 。 它 引入 了 “保护 轮 
廓 ”(PP) 的 概念 。 每 个 轮廓 都 包括 功能 、 开 发 保证 和 评价 3 部 分 ， 在 美国 政府 、 民 间 和 商 
业 上 应 用 很 广 。 


6. 国际 通用 准则 CC 


1993 年 6 月 ， 欧 美的 6 个 国家 将 各 自 独 立 的 准则 集合 成 一 系列 单一 的 、 能 被 广泛 接受 
的 IT 安全 准则 一 一 通用 准则 (CC)， 将 CC 提交 给 IO， 于 1996 年 颁布 了 1.0 版 。1999 年 
12 月 ISO 正式 将 CC 2.0 〈1998 年 颁布 ) 作为 国际 标准 一 一 ISO 15408 发 布 。 

CC 的 主要 思想 和 框架 都 取 自 ITSEC 和 FC， 并 突出 了 “保护 轮廓 ”的 概念 ， 将 评估 过 
程 分 为 安全 保证 和 安全 功能 两 部 分 。 安 全 保证 分 为 7 个 评估 保证 级 别 。 

EAL1: 功能 测试 。 

EAL2: 结构 测试 。 

EAL3: 系统 测试 和 检查 。 

EAL4: 系统 设计 、 测 试 和 复查 。 

EAL5: 半 形 式 化 设计 和 测试 。 

EAL6: 半 形 式 化 验证 的 设计 和 测试 。 

EAL7: 集成 化 验证 的 设计 和 测试 。 

表 5.10 为 CC、TCSEC 和 ITSEC 标准 的 对 应 关系 。 

表 5.10 CC、TCSEC 和 ITSEC 标准 的 对 应 关系 


标 准 等 ”级 


CC | | EAL1 EAL2 EAL3 EAL4 EAL5 | EAL6 EAL7 | 

















TCSEC | D | Cl C2 Bl B | B3 A | 超人 
ITSEC E0 El E2 E3 E4 E5 E6 


CC 目前 已 经 发 布 了 如 下 版 本 。 
(1) 1996 年 6 月 发 布 CC 第 1 版 。 
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(2) 1998 年 5 月 发 布 CC 第 2 版 。 
(3) 1999 年 10 月 发 布 CC 第 2.1 版 ， 并 成 为 ISO 标准 。 


5.5.2 ”中 国信 息 系统 安全 保护 等 级 划分 准则 


中 国 


已 经 发 布 实施 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》GB 17859 一 1999。 这 是 


一 部 强制 性 国家 标准 ,也 是 一 种 技术 法 规 。 它 是 在 参考 了 DoD 5200.28-STD 和 NCSC-TC-005 


的 基础 上 ， 








从 自主 访问 控制 、 强 制 访问 控制 、 标 记 、 身 份 鉴别 、 客 体重 用 、 审 计 、 数 据 完 





整 性 、 隐 蔽 信道 分 析 、 可 信和 路 径 和 可 恢复 10 个 方面 将 计算 机 信息 系统 安全 保护 等 级 划分 为 
5 个 级 别 的 安全 保护 能 力 。 

第 一 级 : 用 户 自 主 保护 级 ， 相 当 于 TCSEC 中 定义 的 C1 级 。 

第 二 级 : 系统 审计 保护 级 ， 相 当 于 TCSEC 中 定义 的 C2 级 。 

第 三 级 : 安全 标记 保护 级 ， 相 当 于 TCSEC 中 定义 的 Bl 级 。 

第 四 级 : 结构 化 保护 级 ， 相 当 于 TCSEC 中 定义 的 B2 级 。 

第 五 级 : 访问 验证 保护 级 ， 相 当 于 TCSEC 中 定义 的 B3 级 。 

计算 机 信息 系统 的 安全 保护 能 力 随 着 安全 保护 等 级 的 提高 而 增强 。 

在 信息 安全 等 级 标准 中 ， 各 等 级 之 间 的 差异 在 于 TCB 的 构造 不 同 以 及 其 所 具有 的 安全 
保护 能 力 的 不 同 。 表 5.11 为 这 5 个 级 别 之 间 的 简单 比较 。 


自主 访问 控制 


身份 鉴别 


表 5.11 5 个 级 别 之 间 的 比较 


第 一 级 第 二 级 第 三 级 第 四 级 第 五 级 
用 户 自主 保护 级 | 系统 审计 保护 级 | 安全 标记 保护 级 结构 化 保护 级 访问 验证 保护 级 





可 信和 路 径 





可 信人 恢复 





下 面 介绍 各 等 级 的 基本 内 容 。 
1. 第 一 级 : 用 户 自主 保护 级 
本 级 可 信 计 算 基 (TCB) 通过 隔离 用 户 与 数据 ， 使 用 户 具 备 自主 安全 保护 的 能 力 。 它 














Cy 
允许 命名 
“296。 


有 具有 多 种 形式 的 控制 能 力 ， 对 用 户 实施 访问 控制 ， 即 为 用 户 提供 可 行 的 手段 ， 保 护 用户 和 
用 户 组 信息 ， 避 免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 具 体 保护 能 力 如 下 。 


自主 访问 控制 :可 信 计 算 基 定 义 系统 中 的 用 户 和 命名 用 户 对 命名 客体 的 访问 ， 并 











户 以 自己 的 身份 和 《或 ) 用 户 组 的 身份 指定 并 控制 对 客体 的 访问 ;阻止 非 授权 





用 户 读 取 敏感 信息 。 

(2) 身份 鉴别 : 从 用 户 的 角度 看 ， 可 信 计 算 基 的 责任 就 是 进行 身份 鉴别 。 在 系统 初始 
化 时 ， 首 先 要 求 用 户 标识 自己 的 身份 ， 并 使 用 保护 机 制 〈 例 如 口令 ) 来 鉴别 用 户 的 身份 ， 
阻止 非 授权 用 户 访问 用 户 身份 鉴别 数据 。 

(3) 数据 完整 性 : 可 信 计 算 基 通过 自主 完整 性 策略 ， 阻 止 非 授 权 用 户 修改 或 破坏 敏感 
信息 。 


2. 第 二 级 : 系统 审计 保护 级 


这 一 级 除 具 备 第 一 级 所 有 的 安全 功能 外 ， 要 求 创建 和 维护 访问 的 审计 跟踪 记录 ， 使 所 
有 用 户 对 自己 的 合法 性 行为 负责 。 具 体 保护 能 力 如 下 。 

(1) 自主 访问 控制 : 可 信 计 算 基 定 义 实施 的 访问 控制 的 粒度 是 单个 用 户 。 没 有 存 取 权 
的 用 户 只 允许 由 授权 用 户 指定 对 客体 的 访问 权 。 

(2) 身份 鉴别 比 用 户 自主 保护 级 增加 两 点 。 

@ 通过 为 用 户 提 供 唯一 标识 ， 可 信 计 算 基 使 用 户 对 自己 的 行为 负责 。 

@ 具备 将 身份 标识 与 该 用 户 所 有 可 审计 行为 相关 联 的 能 力 。 

(3) 客体 重用 : 在 可 信 计 算 基 的 空闲 存储 客体 空间 中 ， 对 客体 初始 指定 、 分 配 或 再 分 
配 一 个 主体 之 前 ， 撤 销 该 客体 所 含 信息 的 所 有 授权 。 当 主体 获得 对 一 个 已 被 释放 的 客体 的 
访问 权时 ， 当 前 主体 不 能 获得 原 主体 活动 所 产生 的 任何 信息 。 

(4) 审计 : 在 可 信 计 算 基 能 创建 和 维护 受 保护 客体 的 访问 审计 跟踪 记录 ， 并 能 阻止 非 
授权 的 用 户 对 它 访问 或 破坏 。 

可 信 计 算 基 能 记录 下 述 事件 : 使 用 的 身份 鉴别 机 制 ， 将 客体 引入 用 户 地 址 空间 (例如 
打开 文件 、 程 序 初始 化 )， 删 除 客体 ， 由 操作 员 、 系 统管 理 员 或 (和) 系统 安全 管理 员 实施 
的 动作 ， 以 及 其 他 与 系统 安全 有 关 的 事件 。 对 于 每 一 事件 ， 其 审计 记录 包括 事件 的 日 期 和 
时 间 、 用 户 、 事 件 类 型 、 事 件 是 否 成 功 。 对 于 身份 鉴别 事件 ， 审 计 记录 包含 请 求 的 来 源 ( 例 
如 终端 标识 符 ); 对 于 客体 引入 用 户 地 址 空间 的 事件 及 客体 删除 事件 , 审计 记录 包含 客体 名 。 
对 不 能 由 可 信 计 算 基 独立 分 辨 的 审计 事件 ， 审 计 机 制 提 供 审计 记录 接口 ， 可 由 授权 主体 调 
用 。 这 些 审计 记录 区 别 于 计算 机 信息 系统 可 信 计 算 基 独立 分 辨 的 审计 记录 。 

(5) 数据 完整 性 : 可 信 计 算 基 通 过 自主 完整 性 策略 ， 阻 止 非 授权 用 户 修改 或 破坏 敏感 
信息 。 


3. 第 三 级 : 安全 标记 保护 级 


本 级 的 可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ， 还 需 以 访问 对 象 的 安全 级 
别 限制 访问 者 的 访问 权限 ， 实 现 对 访问 对 象 的 强制 访问 。 为 此 需要 提供 有 关 安 全 策略 模型 、 
数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ， 具 有 准确 地 标记 输出 信息 的 能 力 ， 
消除 测试 发 现 的 任何 错误 。 具 体 保护 能 力 如 下 。 

(1) 自主 访问 控制 : 同系 统 审计 保护 级 。 

(2) 强制 访问 控制 : 可 信 计 算 基 对 所 有 主体 及 其 控制 的 客体 〈 例 如 进程 、 文 件 、 段 和 
设备 ) 实施 强制 访问 控制 。 通 过 敏感 标记 为 这 些 主体 及 客体 指定 安全 等 级 。 安 全 等 级 用 二 











207 


维 组 表示 : 第 一 维 是 等 级 分 类 《〈 如 秘密 、 机 密 和 绝密 等 )， 第 二 维 是 范畴 〈 如 适用 范畴 )。 
它们 是 实施 强制 访问 控制 的 依据 。 可 信 计 算 基 支持 两 种 或 两 种 以 上 成 分 组 成 的 安全 级 。 可 
信 计 算 基 控制 的 所 有 主体 对 客体 的 访问 应 满足 以 下 要 求 。 

@ 仅 当主 体 安全 级 中 的 等 级 分 类 高 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 且 主体 安全 级 
中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ， 主 体 才能 读 客 体 。 

@ 仅 当主 体 安全 级 中 的 等 级 分 类 低 于 或 等 于 客体 安全 级 中 的 等 级 分 类 ， 且 主体 安全 级 
中 的 非 等 级 类 别 包 含 了 客体 安全 级 中 的 全 部 非 等 级 类 别 ， 主 体 才能 写 一 个 客体 。 

可 信 计 算 基 使 用 身份 和 鉴别 数据 来 鉴别 用 户 的 身份 ， 并 保证 用 户 创建 的 可 信 计 算 基 外 
部 主体 的 安全 级 和 授权 受 该 用 户 的 安全 级 和 授权 的 控制 。 

(3) 敏感 标记 : 是 实施 强制 访问 的 基础 。 可 信 计 算 基 应 明确 规定 需要 标记 的 客体 〈 例 
如 进程 、 文 件 、 段 和 设备 )， 明 确定 义 标记 的 粒度 〈 如 文件 级 、 字 段 级 等 )， 并 必须 使 其 主 
要 数据 结构 具有 相关 的 敏感 标记 。 为 了 输入 未 加 安全 标记 的 数据 ， 可 信 计 算 基 向 授权 用 户 
要 求 并 接受 这 些 数据 的 安全 级 别 ， 且 可 由 计算 机 信息 系统 可 信 计 算 基 审计 。 

(4) 身份 鉴别 : 可 信 计 算 基 初 始 执行 时 ， 首 先 要 求 用 户 标 识 自 己 的 身份 ， 而 且 ， 可 信 
计算 基 维 护 用 户 身份 识别 数据 并 确定 用 户 的 访问 权 及 授权 数据 。 其 他 同系 统 审计 保护 级 。 

(5) 客体 重用 : 同系 统 审计 保护 级 。 

(6) 审计 : 在 系统 审计 保护 级 的 基础 上 ， 要 求 可 信 计 算 基 具 有 审计 更 改 可 读 输出 记号 
的 能 力 。 

(7) 数据 完整 性 ， 可 信 计 算 基 道 过 自主 和 强制 完整 性 策略 ， 阻 止 非 授 权 用 户 修改 或 破 
坏 敏感 信息 。 在 网 络 环境 中 ， 使 用 完整 性 敏感 标记 来 确保 信息 在 传送 中 未 受 损 。 


4. 第 四 级 : 结构 化 保护 级 


本 级 的 计算 机 信息 系统 可 信 计 算 基建 立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ， 
将 第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ， 还 要 考虑 隐蔽 信道 。 
本 级 的 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关键 保护 元 素 ， 可 信 计 算 基 的 接口 也 必 
须 明 确定 义 ， 使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 ; 加 强 了 鉴别 机 制 ; 支 
持 系统 管理 员 和 操作 员 的 职能 ;提供 可 信 设 施 管理 ; 增强 了 配置 管理 控制 。 系 统 具 有 相当 
的 抗 渗透 能 

与 安全 标记 保护 级 相 比 ， 本 级 的 主要 特征 如 下 。 

(1) 可 信 计 算 基 基于 一 个 明确 定义 的 形式 化 安全 保护 策略 。 

(2) 将 第 三 级 实施 的 (自主 或 强制 ) 访问 控制 扩展 到 所 有 主体 和 客体 ， 即 在 自主 访问 
控制 方面 ， 可 信 计 算 基 应 维护 由 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 《例如 主体 、 存 
储 客体 和 输入 输出 资源 ) 实施 强制 访问 控制 ， 为 这 些 主体 及 客体 指定 敏感 标记 ， 这 些 标记 
是 等 级 分 类 和 非 等 级 类 别 的 组 合 ， 它 们 是 实施 强制 访问 控制 的 依据 。 

(3) 审计 。 

Q 同系 统 安全 标记 保护 级 。 

@ 计算 机 信息 系统 可 信 计 算 基 能 够 审计 利用 隐蔽 存储 信道 时 可 能 被 使 用 的 事件 。 

(4) 数据 完整 性 : 计算 机 信息 系统 可 信 计 算 基 通过 自主 和 强制 完整 性 策略 ， 阻 止 非 授权 
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用 户 修改 或 破坏 敏感 信息 。 在 网 络 环境 中 ,使 用 完整 性 敏感 标记 来 确保 信息 在 传送 中 未 受 损 。 
(5) 隐蔽 信道 分 析 : 系统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ， 并 根据 实际 测量 或 工程 估 
算 确 定 每 一 个 被 标识 信道 的 最 大 带宽 。 
(6) 可 信 路 径 : 对 用 户 的 初始 登录 和 上 鉴别， 计算 机 信息 系统 可 信 计 算 基 在 它 与 用 户 之 
间 提 供 可 信 通 信 路 径 ， 该 路 径 上 的 通信 只 能 由 该 用 户 初始 化 。 


5. 第 五 级 : 访问 验证 保护 级 


本 级 的 可 信 计 算 基 满 足 引 用 监视 器 需求 。 访 问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 
问 监 控 器 本 身 是 抗 自 改 的 ， 必 须 足 够 小 ， 能 够 分 析 和 测试 。 

为 了 满足 访问 监控 器 的 需求 ， 可 信 计 算 基 在 其 构造 时 ， 排 除 那些 对 实施 安全 策略 来 说 
并 非 必要 的 代码 ; 在 设计 和 现实 时 ， 从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 支 持 安 
全 提供 系统 恢复 机 制 管理 员 职 能 ， 扩 充 审 计 机 制 ， 当 发 生 与 安全 相关 的 事件 时 发 出 信和 号; 
提供 系统 恢复 机 制 。 系 统 具 有 很 高 的 抗 渗 透 能 力 。 

与 第 四 级 相 比 ， 本 级 的 主要 特征 有 如 下 几 个 方面 。 

(1) 可 信 计 算 基 的 构造 方面 ， 本 级 具有 访问 监控 器 。 访 问 监控 器 是 监视 主体 和 客体 之 
间 授 权 关 系 的 部 件 ， 仲 裁 主 体 对 客体 的 全 部 访问 。 访 问 监 控 器 必须 是 抗 算 改 的 ， 并 且 是 可 
分 析 和 测试 的 。 

(2) 在 自主 访问 控制 方面 ， 由 于 有 访问 监控 器 ， 所 以 访问 控制 能 为 每 个 客体 指定 用 户 
和 用 户 组 ， 并 规定 他 们 对 客体 的 访问 模式 。 没 有 存储 权 的 用 户 只 允许 由 授权 用 户 指定 对 客 
体 的 访问 权 。 

(3) 在 审计 方面 ， 可 信 计 算 基 包含 能 够 监控 可 审计 安全 事件 发 生 与 积累 的 机 制 ， 当 超 
过 阔 值 时 ， 能 够 立即 向 安全 管理 员 发 出 警报 。 并 且 ， 如 果 这 些 与 安全 相关 的 事件 继续 发 生 
或 积累 ， 系 统 应 以 最 小 的 代价 终止 它们 。 

(4) 可 信和 恢复: 提供 过 程 和 机 制 ， 保 证 计算 机 信息 系统 失效 或 中 断后 ， 可 以 进行 不 损 
害 任 何 安全 保护 性 能 的 恢复 。 


5.5.3 ”信息 安全 测评 认证 体系 
1. 一 般 国家 的 信息 安全 测评 认证 体系 


目前 世界 许多 国家 都 建立 了 国家 信息 安全 测评 认证 体系 。 图 5.7 为 已 经 建立 CC 信息 安 
全 测评 认证 体系 的 国家 信息 安全 测评 认证 机 构 组 织 的 一 般 结 构 。 
家 安全 /情报 部 门 家 标准 化 部 门 
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图 5.7 ”国家 信息 安全 测评 认证 机 构 组 织 的 一 般 结构 
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在 这 样 的 安全 测评 认证 组 织 结构 中 ， 认 证 机 构 是 核心 。 认 证 机 构 是 一 些 公正 的 第 三 方 ， 
负责 具体 管理 信息 安全 产品 的 安全 性 评估 和 认证 ， 并 颁发 认证 证 书 。 它 们 上 由 国家 标准 化 
部 门 认可 和 授权 ， 并 受 国家 安全 和 情报 主管 部 门 的 监管 , 下 可 委托 一 些 具 有 商业 性 质 的 CC 
测试 实验 室 进行 安全 性 评估 和 认证 的 具体 实施 ， 并 向 认证 机 构 提交 结果 。 


2. 国际 互 认 


1995 年 CC 项 目 组 成 立 了 CC 国际 互 认 工作 组 ， 并 于 1997 年 制定 了 过 渡 性 互 认 协 定 。 
目前 ， 参 加 CC 互 认 协定 (CCRA) 已 经 有 美国 的 NSA 和 NIST、 加 拿 大 的 CSE、 英 国 的 
CESG、 德 国 的 GISA、 法 国 的 SCSSI、 新 西 兰 的 DSD， 以 及 澳大利亚 、 蓓 兰 、 西 班 牙 、 意 
大 利 、 挪 威 、 芬 兰 、 瑞 典 、 希 腊 等 20 多 个 国家 的 政府 官方 组 织 。 目 前 CCRA 也 已 经 允许 有 
政府 机 构 参 与 或 授权 的 非 官方 组 织 参加 。 

3. 中 国 国家 信息 安全 测评 认证 中 心 

中 国 国家 信息 安全 测评 认证 中 心 是 国家 授权 的 、 并 按照 CC 准则 建立 的 具有 第 三 方 性 质 
的 技术 机 构 。 它 代表 国家 ， 并 依照 国家 认证 的 法 律 、 法 规 和 信息 安全 管理 政策 ， 对 信息 技 
术 、 信 息 系统 、 信 息 安 全 产品 以 及 安全 服务 的 安全 性 实施 测试 、 评 估 和 认证 。 图 5.8 为 中 国 
国家 信息 安全 测评 认证 中 心 开 展 涉 密 信 息 系统 认证 的 流程 。 
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图 5.8 中国 国家 信息 安全 测评 认证 中 心 开展 涉 密 信息 系统 认证 的 流程 


5.6 ”开放 系统 互 连 安全 体系 结构 


一 个 信息 系统 的 安全 涉及 有 关 安 全 的 众多 因素 和 要 求 ， 如 保密 性 、 完 整 性 、 可 扩展 性 、 
方便 性 以 及 成 本 等 。 这 些 要 求 往往 是 有 冲突 的 。 特 别 重要 的 是 ， 存 在 安全 理论 与 系统 实际 
之 间 的 特殊 性 冲突 。 因 此 一 个 系统 安全 的 最 后 实现 ， 一 定 是 这 些 众多 因素 的 协调 和 折 中 考 
虑 ， 也 是 理论 如 何 应 用 于 实际 的 问题 。 研 究 信息 系统 安全 体系 结构 的 目的 ， 就 是 将 普 凯 性 
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的 安全 体系 原理 与 信息 系统 自身 的 实际 相 结合 ， 从 所 需要 保护 的 信息 系统 资源 出 发 ， 分 析 
由 系统 可 能 的 威胁 和 系统 自身 可 能 的 漏洞 形成 的 安全 风险 ， 建 立 系统 安全 需求 ， 从 管理 和 
技术 上 保证 安全 策略 得 以 完整 准确 的 实现 ， 安 全 需求 得 以 全 面 准 确 的 满足 。 

本 节 介绍 开放 系统 互 连 安全 体系 结构 ， 即 著名 的 ISO/OSI 安全 体系 结构 。 它 是 国际 标 
准 化 组 织 ISO 于 1989 年 在 对 OSI (开放 系统 互 连 ) 环境 的 安全 性 进行 深入 研究 的 基础 上 提 
出 的 ISO 7498-2 和 《Internet 安全 体系 结构 》(RFC 2401)。 中 国 国家 标准 《信息 处 理 系统 开 
放 系 统 互 联 基本 参考 模型 一 一 第 二 部 分 : 安全 体系 结构 》(GB/T 9387.2 一 1995) 是 一 个 与 之 
等 同 的 标准 ， 它 给 出 了 基于 OSI 参考 模型 七 层 协议 之 上 的 信息 安全 体系 结构 。 
5.6.1 开放 系统 互 连 安全 体系 结构 概述 

OSI 安全 体系 结构 是 一 个 普遍 适用 的 安全 体系 结构 , 其 核心 内 容 是 保证 异 构 计 算 机 系统 
进程 与 进程 之 间 远 距离 交换 信息 的 安全 ; 其 基本 思想 是 ， 为 了 全 面 而 准确 地 满足 一 个 开放 
系统 的 安全 需求 ， 必 须 在 7 个 层次 中 提供 必需 的 安全 服务 、 安 全 机 制 和 技术 管理 ， 以 及 它们 
在 系统 上 的 合理 部 署 和 关系 配置 。 这 个 体系 结构 可 以 用 图 5.9 表示 。 














OSI 参考 模型 | 
应 用 层 
表示 层 
会 话 层 [ 
传输 层 
网 络 层 
数据 链 路 层 上 
物理 层 

1 公 a 

J 名 制 换 过 制 


安全 服务 
图 5.9 OSI 安全 体系 结构 


OSI 安全 体系 结构 提供 的 内 容 如 下 。 

(1) 提供 安全 体系 结构 所 配备 的 安全 服务 〈 也 称 为 安全 功能 ) 和 有 关 安全 机 人 制 在 体系 
结构 下 的 一 般 描 述 。 

(2) 确定 体系 结构 内 部 可 以 提供 相关 安全 服务 的 位 置 。 

(3) 保证 完全 准确 地 配置 安全 服务 ， 并 且 一 直 维 持 于 信息 系统 安全 的 生命 周期 中 ， 安 
全 服务 必须 满足 一 定 强度 的 要 求 。 

(4) 一 种 安全 服务 可 以 通过 某 种 单独 的 安全 机 制 提 供 ， 也 可 以 通过 多 种 安全 机 制 联合 
提供 ， 一 种 安全 机 人 制 可 用 于 提供 一 种 或 多 种 安全 服务 ， 在 七 层 协议 中 除 第 五 层 〈 会 话 层 ) 
外 ， 每 一 层 均 能 提供 相应 的 安全 服务 。 

实际 上 ， 最 适合 配置 安全 服务 的 是 在 物理 层 、 网 络 层 、 传 输 层 和 应 用 层 上 。 其 他 层 都 
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不 宜 配 置 安全 服务 。 
5.6.2 ”OSI 安全 体系 结构 的 安全 服务 

OSI 安全 体系 结构 中 定义 的 5 大 类 安全 服务 ， 也 称 为 安全 防护 措施 。 

1. 鉴别 服务 

鉴别 是 最 基本 的 安全 服务 ， 是 对 付 假 冒 攻击 的 有 效 方法 。 鉴 别 可 以 分 为 对 等 实体 鉴别 
和 数据 源 鉴 别 。 

1) 对 等 实体 鉴别 

对 等 实体 鉴别 是 在 开放 系统 的 两 个 同 层 对 等 实体 间 建 立 连 接 和 传输 数据 期 间 ， 为 证 实 
一 个 或 多 个 连接 实体 的 身份 而 提供 的 一 种 安全 服务 。 这 种 服务 可 以 是 单 向 的 ， 也 可 以 是 双 
向 的 ; 可 以 带 有 有 效 期 检验 ， 也 可 以 不 带 。 从 七 层 参考 模型 看 ， 当 由 和 层 提供 这 种 服务 时 ， 
将 使 N+1 层 实体 确信 与 之 打交道 的 对 等 实体 正 是 它 所 需要 的 对 等 N+1 层 实 体 。 

2) 数据 源 鉴别 

数据 源 鉴别 服务 是 对 数据 单元 的 来 源 提供 识别 ， 但 对 数据 单元 的 重复 或 算 改 不 提供 鉴 
别 保护 。 从 七 层 参考 模型 看 ， 当 由 N 层 提 供 这 种 服务 时 ， 将 使 N+1 层 实体 确信 数据 来 源 正 
是 它 所 需要 的 对 等 N+1 层 实体 。 

2. 访问 控制 

访问 控制 用 于 防止 资源 未 授权 使 用 。 在 OSI 安全 体系 结构 中 , 访问 控制 的 安全 目标 如 下 。 

(1) 通过 进程 《可 以 代表 人 员 或 其 他 进程 行为 ) 对 数据 不 同 进程 或 其 他 计算 资源 的 访 
问 控制 。 

(2) 在 一 个 安全 域内 的 访问 或 跨越 一 个 或 多 个 安全 域 的 访问 控制 。 

(3) 按照 其 上 下 文 进行 的 访问 控制 。 如 根据 试图 访问 的 时 间 、 访 问 者 地 点 或 访问 路 由 


等 因素 的 访问 控制 。 
(4) 在 访问 期 间 对 授权 更 改 做 出 反应 的 访问 控制 。 
3. 机 密 性 


机 密 性 就 是 保护 信息 《数据 ) 不 泄露 或 不 泄露 给 那些 未 授权 掌握 这 一 信息 的 实体 。 

在 信息 系统 安全 中 需要 区 分 两 类 机 密 性 服务 。 

(1) 数据 机 密 性 服务 : 使 攻击 者 想 要 从 某 个 数据 项 中 推出 敏感 信息 是 十 分 困难 的 。 

(2) 业务 流 机 密 性 服务 : 使 攻击 者 想 要 通过 观察 通信 系统 的 业务 流 来 获得 敏感 信息 是 
十 分 困难 的 。 

根据 所 加 密 的 数据 项 ， 机 密 性 服务 可 以 有 如 下 儿 种 类 型 。 

(1) 连接 机 密 性 : 为 一 次 连接 上 的 所 有 用 户 数据 提供 机 密 性 保护 。 

(2) 无 连接 机 密 性 : 为 单个 无 连接 的 SDU 中 的 全 部 用 户 数据 提供 机 密 性 保护 。 

(3) 选择 字段 机 密 性 : 为 那些 被 选择 的 字段 提供 机 密 性 保护 。 这 些 字 段 或 处 于 连接 的 
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用 户 中 ， 或 者 为 单个 无 连接 的 SDU 中 的 字段 。 
(4) 通信 业务 流 机 密 性 : 使 得 通过 观察 通信 业务 流 而 不 可 能 推断 出 其 中 的 机 密 信息 。 


4. 完整 性 


完整 性 服务 用 于 对 抗 数 据 在 存储 、 传 输 等 处 理 过 程 中 受到 的 非 授权 修改 ， 可 分 为 3 种 
重要 类 型 。 

(1) 连接 完整 性 服务 。 

(2) 无 连接 完整 性 服务 。 

(3) 选择 字段 完整 性 服务 。 

完整 性 服务 还 可 以 按 是 否 具 有 恢复 功能 分 为 以 下 两 种 类 型 。 

(1) 不 具有 恢复 功能 的 完整 性 服务 。 

(2) 具有 恢复 功能 的 完整 性 服务 。 

OSI 安全 体系 把 完整 性 服务 概括 为 以 下 5 个 方面 。 

(1) 带 恢复 的 连接 完整 性 : 为 连接 上 的 所 有 用 户 数据 保证 其 完整 性 ， 并 检测 整个 SDU 
序列 中 的 数据 遭受 到 的 任何 自 改 、 插 入 和 删除 ， 或 者 同时 进行 补救 和 /或 恢复 。 

(2) 不 带 恢 复 的 连接 完整 性 : 服务 同 带 恢复 的 连接 完整 性 ， 只 是 不 做 补救 恢复 。 

(3) 选择 字段 的 连接 完整 性 : 为 一 次 连接 上 传送 的 SDU 的 用 户 数据 中 的 选择 字段 提供 
完整 性 保护 ， 确 定 被 选择 字段 是 否 遭 受 了 算 改 、 插 入 、 删 除 或 不 可 用 。 

(4) 无 连接 完整 性 : 为 单个 无 连接 上 的 SDU 提供 完整 性 保护 ， 检 测 一 个 接收 到 的 SDU 
是 否 遭 受 了 算 改 ， 并 在 一 定 程 度 上 提供 对 连接 重 放 的 检测 。 

(5) 选择 字段 的 无 连接 完整 性 ; 为 单个 无 连接 上 的 SDU 中 的 选择 字段 提供 完整 性 保 
护 ， 检 测 被 选择 字段 是 否 遭 受 了 算 改 。 


S. 抗 抵赖 


上 面 的 安全 服务 是 针对 来 自 未 知 攻击 者 的 威胁 ， 而 抗 抵赖 服务 的 目的 是 保护 通信 实体 
免 遭 来 自 其 他 合法 实体 的 威胁 。OSI 定义 的 抗 抵赖 服务 有 两 种 类 型 。 

(1) 有 数据 原 发 证 明 的 抗 抵赖 : 为 数据 的 接收 者 提供 数据 的 原 发 证 据 ， 使 发 送 者 不 能 
抵赖 这 些 数据 的 发 送 或 否认 发 送 内 容 。 

(2) 有 交付 证 明 的 抗 抵赖 : 为 数据 的 发 送 者 提供 数据 交付 证 据 ， 使 接收 者 不 能 抵赖 收 
到 这 些 数据 或 否认 接收 内 容 。 


5.6.3 OSI 七 层 中 的 安全 服务 配置 
1. 安全 分 层 及 服务 配置 原则 


安全 服务 分 层 以 及 安全 机 制 在 OSI 七 层 上 的 配置 应 按照 下 列 原则 进行 。 
(1) 实现 一 种 服务 的 不 同方 法 越 少 越 好 。 

(2) 在 多 层 上 提供 安全 服务 来 建立 安全 系统 是 可 取 的 。 

(3) 为 安全 所 需 的 附加 功能 不 应 该 也 不 必要 重复 OSI 的 现 有 功能 。 
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(4) 避免 破坏 层 的 独立 性 。 

(5) 可 信 功 能 度 的 总 量 应 尽量 少 。 

(6) 只 要 一 个 实体 依赖 于 由 位 于 较 低 层 的 实体 提供 的 安全 机 制 ， 那 么 任何 中 间 层 应 该 
按 不 违反 安全 的 方式 构建 。 

(7) 只 要 可 能 ， 就 应 以 作为 自 容纳 模块 起 作用 的 方法 来 定义 一 个 层 的 附加 安全 功能 。 

(8) 本 标准 被 认定 用 于 由 包含 所 有 7 层 的 端 系统 组 成 的 开放 系统 以 及 中 继 系统 。 


2. 在 OSI 各 层 中 的 安全 服务 配置 


OSI 各 层 提供 的 安全 服务 配置 如 表 5.12 所 示 。 不 论 所 要 求 的 安全 服务 是 由 该 层 提供 还 
是 由 下 层 提 供 ， 各 层 上 的 服务 定义 都 可 能 需要 修改 。 
表 5.12 OSI 各 层 中 的 安全 服务 配置 











协 议 层 
选择 字段 无 连接 完整 性 | TT Tw| 4 v 
有 数据 原 发 证 明 的 抗 抵赖 V 
有 交付 证 明 的 抗 抵赖 y 











注 表 中 空白 表示 不 提供 。 
5.6.4 OSI 安全 体系 结构 的 安全 机 制 


OSI 安全 体系 结构 没有 说 明 5 种 安全 服务 如 何 实现 ， 但 是 它 给 出 了 8 种 基本 特定 的 ) 
安全 机 制 , 使 用 这 8 种 安全 机 制 , 再 加 上 儿 种 普遍 性 的 安全 机 制 , 将 它们 设置 在 适当 的 CN) 
层 上 ， 用 以 提供 OSI 安全 体系 结构 安全 服务 。 


1. OSI 的 8 种 特定 的 安全 机 制 


1) 加 密 
在 OSI 安全 体系 结构 的 安全 机 制 中 ， 加 密 涉 及 3 个 方面 的 内 容 。 
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(1) 密码 体制 的 类 型 : 对 称 密 码 体制 和 非 对 称 密码 体制 。 
(2) 密 钥 管理 。 
(3) 加 密 层 的 选取 。 表 5.13 给 出 了 加 密 层 选取 时 要 考虑 的 因素 ， 它 不 推荐 在 数据 链 路 
层 上 的 加 密 。 
表 5.13 ”加 密 层 选取 时 要 考虑 的 因素 











加 密 要 求 加 密 层 
对 全 部 通信 业务 提供 加 密 物理 层 
细 粒 度 保护 对 每 个 应 用 提供 不 同 的 密 钥 ) 表示 
抗 抵赖 或 选择 字段 保护 
提供 机 密 性 与 不 带 恢复 的 完整 性 
对 所 有 端 对 端 之 间 通 信 的 简单 块 进行 保护 网 络 层 
希望 有 一 个 外 部 的 加 密 设 备 〈 如 为 了 给 算法 和 密 钥 提供 物理 保护 或 防止 软件 错误 ) 
提供 带 恢复 的 完整 性 以 及 细 粒 度 保护 传输 层 





2) 数字 签名 

数据 签名 是 附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 数据 单元 所 做 的 密码 变换 ， 这 种 附 
加 数据 或 变换 可 以 起 如 下 作用 。 

(1) 供 接收 者 确认 数据 来 源 。 

(2) 供 接收 者 确认 数据 完整 性 。 

(3) 保护 数据 ， 防 止 他 人 伪造 。 

数字 签名 需要 确定 两 个 过 程 。 

(1) 对 数据 单元 签名 ， 使 用 签名 者 私有 〈 独 有 或 机 密 的 ) 信息 。 

(2) 验证 签 过 名 的 数据 单元 ， 使 用 的 规程 和 信息 是 公开 的 ， 但 不 能 推断 出 签名 者 的 私 
有 信息 。 

3) 访问 控制 

访问 控制 是 一 种 对 资源 访问 或 操作 加 以 限制 的 策略 。 此 外 ， 它 还 可 以 支持 数据 的 机 密 
性 、 数 据 完整 性 、 可 用 性 以 及 合法 使 用 的 安全 目标 。 访 问 控制 机 制 可 应 用 于 通信 联系 中 的 
任 一 端点 或 任 一 中 间 点 。 

访问 控制 机 制 可 以 建立 在 下 面 的 一 种 或 多 种 手段 之 上 。 

(1) 访问 控制 信息 库 ， 保 在 了 对 等 实体 的 访问 权限 。 

(2) 鉴别 信息 ， 如 口令 等 。 

(3) 权限 。 

(4) 安全 标记 。 

(5) 试图 访问 的 时 间 。 

(6) 试图 访问 的 路 由 。 

(7) 访问 持续 期 。 








“ 303” 


4) 数据 完整 性 

数据 完整 性 保护 的 目的 是 避免 未 授权 的 数据 乱 序 、 丢 失 、 重 放 、 插 入 和 算 改 。 下 面 讨 
论 数据 完整 性 的 两 个 方面 : 单个 数据 或 字段 的 完整 性 和 数据 单元 流 或 字段 流 的 完整 性 。 

决定 单个 数据 单元 的 完整 性 涉及 两 个 实体 : 一 个 在 发 送 实体 上 ， 一 个 在 接收 实体 上 。 
发 送 实体 给 数据 单元 附 上 一 个 附加 量 ， 接 收 实体 也 产生 一 个 相应 的 量 ， 通 过 比较 两 者 ， 可 
以 判定 数据 在 传输 过 程 中 是 否 被 自 改 。 

对 于 连接 方式 数据 传送 ， 保 护 数 据 单元 序列 的 完整 性 (包括 防止 乱 序 、 数 据 丢 失 、 重 
放 或 自 改 ), 还 需要 明显 的 排序 标记 ,如 顺序 号 、 时 间 标 记 或 密码 链 ; 对 于 无 连接 数据 传送 ， 
时 间 标 记 可 以 提供 一 定 程度 的 保护 ， 防 止 个 别 数据 单元 重 放 。 

5) 鉴别 交换 

(1) 可 用 于 鉴别 交换 的 技术 如 下 。 

@ 鉴别 信息 ， 如 口令 。 

@ 密码 技术 。 

@ 使 用 该 实体 特征 〈 生 物 信息 等 ) 或 占有 物 〈 信 物 等 )。 

(2) 可 以 结合 使 用 的 技术 如 下 。 

@ 时 间 标 记 与 同步 时 钟 。 

@ 两 次 握手 (单方 鉴定 ) 和 三 次 握手 (双方 鉴定 )。 

@ 数字 签名 和 公证 。 

6) 通信 业务 填充 

通信 业务 填充 是 一 种 反 分 析 技 术 ， 通 过 虚假 填充 将 协议 数据 单元 达到 一 个 固定 长 度 。 
它 只 有 受到 机 密 服务 保护 才 有 效 。 

7) 路 由 选择 控制 

路 由 选择 控制 机 制 可 以 使 敏感 数据 只 在 具有 适当 保护 级 别 的 路 由 上 传输 ， 并 且 采 取 如 
下 一 些 处 理 。 

@ 检测 到 持续 的 攻击 ， 可 以 为 端 系统 建立 不 同 的 路 由 的 连接 。 

@ 依据 安全 策略 ， 使 某 些 带 有 安全 标记 的 数据 禁止 通过 某 些 子 网 、 中 继 或 链 路 。 

@ 允许 连接 的 发 起 者 〈 或 无 连接 数据 单元 的 发 送 者 ) 指定 路 由 选择 , 或 回避 某 些 子 网 、 
中 继 或 链 路 。 

8) 公证 

公证 机 制 是 由 可 信 的 第 三 方 提供 数据 完整 性 、 数 据 源 、 时 间 和 目的 地 等 的 认证 和 保证 。 

2. OSI 安全 服务 与 安全 机 制 之 间 的 关系 


表 5.14 为 OSI 安全 服务 与 安全 机 制 之 间 的 关系 。 











"306。 





表 5.14 OSI 安全 服务 与 安全 机 制 之 间 的 关系 

















安全 服务 - Ee 

对 等 实体 鉴别 

数据 源 鉴别 

访问 控制 | | | 

连接 机 密 性 

无 连接 机 密 性 | v | | 

连接 字段 机 密 性 

流量 机 密 性 

带 恢复 的 连接 完整 性 

不 带 恢 复 的 连接 完整 性 Y 

选择 字段 连接 完整 任 | v | | 

无 连接 完 下 性 

选择 字段 无 连接 完整 性 

原 发 方 抗 抵赖 y 
接收 方 抗 抵赖 


5.6.5 OSI 安全 体系 的 安全 管理 


OSI 安全 管理 活动 有 如 下 3 类 : 系统 安全 管理 、 安 全 服务 管理 和 安全 机 制 管理 。 此 外 还 


必须 考虑 OSI 本 身 的 安全 和 特定 的 系统 安全 管理 活动 。 


1. 系统 安全 管理 


系统 安全 管理 着 眼 于 OSI 总 体 环境 的 管理 ， 其 典型 活动 如 下 。 
(1) 总 体 安全 策略 的 管理 ， 包 括 一 致 性 修改 与 维护 。 

(2) 与 别 的 OSI 安全 管理 的 相互 作用 。 

(3) 与 安全 服务 管理 和 安全 机 制 管理 的 交互 。 

(4) 事件 处 理 管理 。 在 OSI 中 可 以 看 到 的 是 事件 管理 的 实例 ， 是 远程 报告 的 明显 违 





- 


安全 的 企图 以 及 对 用 来 触发 事件 报告 的 阔 值 的 修改 。 


(5) 安全 审计 管理 。 主 要 内 容 有 : 

@ 选择 将 被 记录 和 被 远程 收集 的 事件 。 

@ 授予 或 取消 对 所 选 事件 进行 审计 跟踪 日 志 记录 的 能 
@ 所 选 审计 记录 的 收集 。 

@ 准备 安全 审计 报告 。 

(6) 安全 恢复 管理 。 主 要 内 容 有 : 

Q 维护 用 于 对 实 有 的 或 可 疑 的 安全 事件 做 出 反应 的 规则 。 
@ 远程 报告 明显 的 系统 安全 违规 。 

@ 安全 管理 者 的 交互 。 
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2. 安全 服务 管理 


安全 服务 管理 指 特定 安全 服务 的 管理 。 在 管理 一 种 特定 安全 服务 时 ， 可 能 的 典型 的 活 
动 如 下 。 

(1) 为 该 种 服务 决定 并 指派 安全 保护 的 目标 。 

(2) 在 有 可 选择 的 情况 时 ， 指 定 与 维护 选择 规则 。 

(3) 对 需要 事先 取得 管理 者 同意 的 安全 机 制 进行 协商 。 

(4) 通过 适当 的 安全 机 制 管理 功能 ， 调 用 特定 的 安全 机 制 。 

(5) 与 其 他 安全 服务 管理 功能 和 安全 机 制 管理 功能 交互 。 

3. 安全 机 制 管理 

安全 机 制 管理 指 特定 安全 机 制 的 管理 。 典 型 的 安全 机 制 管理 有 下 列 一 些 。 

1) 密 钥 管理 

(1) 间 敬 性 地 产生 与 所 要 求 的 安全 级 别 相称 的 合适 密 钥 。 

(2) 根据 访问 控制 的 要 求 ， 决 定 每 个 密 钥 应 分 发 给 哪个 实体 。 

(3) 用 可 靠 办 法 使 这 些 密 钥 对 开放 系统 中 的 实体 是 可 用 的 ， 或 将 这 些 密 钥 分 配给 它们 。 

2) 加 密 管理 

(1) 与 密 钥 管理 交互 。 

(2) 建立 密码 参数 。 

(3) 密码 同步 。 

3) 数字 签名 管理 

(1) 与 密 钥 管理 交互 。 

(2) 建立 密码 参数 与 密码 算法 。 

(3) 在 通信 实体 与 可 能 有 的 第 三 方 之 间 使 用 协议 。 

4) 访问 控制 管理 

(1) 安全 属性 (包括 口令 ) 的 分 配 。 

(2) 对 访问 控制 表 或 权力 表 进 行 修改 。 

(3) 在 通信 实体 与 其 他 提供 访问 控制 服务 的 实体 之 间 使 用 协议 。 

5) 数据 完整 性 管理 

(1) 与 密 钥 管理 交互 。 

(2) 建立 密码 参数 与 密码 算法 。 

(3) 在 通信 实体 间 使 用 协议 。 

6) 鉴别 管理 

(1) 将 说 明 人 信息、 口令 或 密 钥 (使 用 密 钥 管理 ) 分 配给 要 求 执行 鉴别 的 实体 。 

(2) 在 通信 的 实体 与 其 他 提供 鉴别 服务 的 实体 之 间 使 用 协议 。 
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7) 通信 业务 填充 管理 

(1) 指定 数据 率 。 

(2) 指定 随机 数据 率 。 

(3) 指定 报 文 特性 ， 例 如 长 度 等 。 

(4) 可 能 按时 间或 日 历来 改变 这 些 规定 。 
8) 路 由 选择 控制 管理 


路 由 选择 管理 的 主要 功能 是 确定 那些 按 特定 准则 被 认为 是 安全 可 靠 和 可 信任 的 链 路 或 


子 网 络 。 


9) 公证 管理 

(1) 分 配 有 关公 证 的 信息 。 

(2) 在 公证 方 与 通信 的 实体 之 间 使 用 协议 。 
(3) 与 公证 方 的 交互 作用 。 


4. OSI 管理 的 安全 








所 有 OSI 管理 功能 的 安全 以 及 OSI 管理 信息 的 通信 安全 是 OSI 安全 的 重要 部 分 。 这 一 


5. 特定 的 系统 安全 管理 活动 

1) 事件 处 理 管 理 

(1) 远程 报告 违反 系统 安全 的 明显 企图 。 

(2) 对 用 来 触发 事件 报告 的 阔 值 进行 修改 。 

2) 安全 审计 管理 

(1) 选择 将 被 记录 和 被 远程 收集 的 事件 。 

(2) 授予 或 取消 对 所 选 事 件 进行 审计 跟踪 日 志 记录 的 能 力 。 
(3) 所 选 审计 记录 的 远程 收集 。 

(4) 准备 安全 审计 报告 。 

3) 安全 恢复 管理 

(1) 维护 那些 用 来 对 实 有 的 或 可 疑 的 安全 事故 做 出 反应 的 规则 。 
(2) 远程 报告 对 系统 安全 的 明显 违反 。 

(3) 安全 管理 者 的 交互 作用 。 


类 安全 管理 将 对 上 面 所 列 的 OSI 安全 服务 与 机 制 进行 适当 的 选取 ， 以 确保 OSI 管理 协议 与 
信息 获得 足够 的 保护 。 例 如 ， 在 管理 信息 库 的 管理 实体 之 间 的 通信 一 般 要 求 某 种 形式 的 
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习 题 


一 、 选 择 题 
1. 系统 备份 与 普通 数据 备份 的 不 同 在 于 ， 它 不 仅 备份 系统 中 的 数据 ， 还 备份 系统 中 安装 的 应 用 程序 、 
数据 库 系 统 、 用 户 设置 和 系统 参数 等 信息 ， 以 便 迅 速 
A. 恢复 整个 系统 B. 恢复 所 有 数据 。 C. 恢复 全 部 程序 。” D. 恢复 网 络 设置 
2. 灾难 恢复 计划 或 者 业务 连续 性 计划 关注 的 是 信息 资产 的 属性 。 
A. 可 用 性 B. 真实 性 C. 完整 性 D. 保密 性 
3. 数据 备份 常用 的 方式 主要 有 完全 备份 、 增 量 备份 和 % 
A. 逻辑 备份 B. 按 需 备份 C. 差分 备份 D. 物理 备份 
4. 审计 管理 是 指 
A. 保证 数据 接收 方 收 到 的 信息 与 发 送 方 发 送 的 信息 完全 一 至 


B. 防止 因数 据 被 截获 而 造成 的 泄密 
C. 对 用 户 和 程序 使 用 资源 的 情况 进行 记录 和 审查 
D. 信息 使 用 者 都 可 以 得 到 相应 授权 的 全 部 服务 


5. 关于 安全 审计 目的 描述 错误 的 是 
A. 识别 和 分 析 未 经 授权 的 动作 或 攻击 B. 记录 用 户 活动 和 系统 管理 
C. 将 动作 归结 到 为 其 负责 的 实体 D. 实现 对 安全 事件 的 应 急 响 应 
6. 安全 审计 跟踪 是 


A. 安全 审计 系统 检测 并 追踪 安全 事件 的 过 程 
B. 安全 审计 系统 收集 易于 安全 审计 的 数据 的 过 程 
C. 人 利用 日 志 信息 进行 安全 事件 分 析 和 追溯 的 过 程 
D. 对 计算 机 系统 中 的 某 种 行为 的 详尽 跟踪 和 观察 
7. “保护 数据 库 ， 防 止 因 未 经 授权 的 或 不 合法 的 使 用 造成 的 数据 泄露 、 更 改 、 破 坏 。” 这 是 指数 据 的 








保护 。 
A. 安全 性 B. 完整 性 C. 并 发 D. 恢复 
8. 信息 安全 评测 标准 CC 是 标准 。 
A. 美国 B. 国际 C. 中 国 D. 加 拿 大 
9. 我 国 《 信 息 系统 安全 等 级 保护 基本 要 求 》 中 ， 对 不 同 级 别 的 信息 系统 应 具备 的 基本 安全 保护 能 力 
进行 了 要 求 ， 共 划分 为 级 。 
A. 4 B. 5 CG Bi 
10. 在 CC 中 ， 称 为 访问 控制 保护 级 别 的 是 
| B. B1 oo] D. B2 
二 、 问 答题 


1. 简 述 紧急 响应 的 意义 。 
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Coo hb 


3 


问 权 限 ， 


. 试 述 紧急 响应 服务 在 实现 目的 方面 受 哪些 因素 制约 。 
. 如 何 制定 紧急 响应 预案 ? 

. 尽 可 能 多 地 列举 一 些 安全 事件 。 

. 简 述 应 急事 件 处 理 的 基本 流程 。 

. 灾难 恢复 涉及 哪些 内 容 ? 

. 灾难 恢复 涉及 哪些 技术 ? 

. 简 述 数据 容错 和 数据 容 灾 之 间 的 联系 与 区 别 。 

. 简 述 数据 备份 在 数据 容错 和 数据 容 灾 中 的 作用 。 


. 简 述 各 种 数据 备份 技术 的 特点 。 


. 简 述 各 种 数据 备份 策略 的 用 途 。 


. 收集 国内 外 有 关 应 急 响应 、 数 据 容错 或 数字 取证 的 网 站 信息 ， 简 要 说 明 各 网 站 的 特点 。 

. 收集 国内 外 有 关 应 急 响 应 、 数 据 容错 或 数字 取证 的 最 新 动态 。 

. 论述 数字 证 据 的 特征 。 

. 上 网 搜索 ， 提 交 一 份 有 关 数字 取证 工具 的 报告 。 

. 如 何 保证 数字 证 据 的 安全 ? 

. 审计 与 入 侵 检测 技术 有 什么 关系 ? 

. 简 述 安 全 审计 的 作用 。 

. 简 述 日 志 的 作用 和 记录 内 容 。 

. 审计 与 入 侵 检测 有 什么 关联 ? 

. 收集 国内 外 有 关 安 全 审计 的 网 站 信息 ， 简 要 说 明 各 网 站 的 特点 。 

. 收集 国内 外 有 关 安 全 审计 的 最 新 动态 。 

. 风险 评估 对 于 信息 系统 安全 有 什么 意义 ? 

. 为 一 个 组 织 的 信息 系统 进行 安全 风险 评估 。 

. NAI 公 司 开 发 了 一 个 用 于 安全 风险 评估 的 扫描 器 CyberCop Scanner， 试 安装 并 使 用 该 工具 。 

. 为 学 生成 绩 管 理 系统 设计 一 个 安全 策略 。 这 个 系统 最 少 要 由 学 生 、 教 师 和 管理 人 员 访 问 。 

在 一 个 具有 读 、 写 、 准 许 和 取消 4 种 访问 操作 的 系统 中 ， 准 许 操作 可 以 授予 其 他 主体 读 和 写 的 访 
并 且 还 可 以 授予 其 他 主体 发 布 对 你 拥有 的 资源 的 访问 权限 。 如 果 你 要 使 用 准许 和 取消 操作 来 控制 


对 你 所 拥有 的 一 个 客体 的 所 有 访问 ， 应 当 采 用 什么 样 的 数据 结构 和 算法 来 实现 准许 和 取消 操作 ? 
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29, 
30. 
31. 
32. 
3 
34. 


. 给 出 一 个 中 等 规模 的 局 域 网 (包含 一 些 子 网 ， 但 不 跨 多 个 地 域 )， 为 其 设计 一 个 安全 解决 方案 。 
分 析 一 个 具体 系统 的 安全 需求 ， 并 给 出 相应 的 安全 策略 。 

如 何 理 解 OSI 安 全 体系 的 安全 机 制 和 安全 服务 之 间 的 对 应 关系 ? 

什么 是 可 信 计 算 基 ? 

详细 说 明 安全 标记 保护 级 的 可 信 计 算 基 的 功能 。 

结构 化 保护 级 的 主要 特征 有 哪些 ? 

收集 有 关 信 息 安全 的 定义 、 标 准 等 方面 的 最 新 概念 和 进展 。 可 以 从 下 面 的 网 站 开始 : 


http:/www.radium.ncsc.mil/tpep/process/fag.html 


http://www.itsec.gov.uk 
http://www.cse-cst.gc.ca/pub/criteria CTCPE 
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35. 收集 资料 ， 分 别 给 定 出 下 列 操作 系统 的 安全 等 级 ， 并 说 明理 由 。 
(1) DOS。 

(2) Windows。 

(3) UNIX。 

(4) Linux。 

36. 写 出 以 下 与 信息 安全 相关 的 英文 缩写 的 全 称 : 
FTP, HTTP, NFS, DNS, UDP, TCP, IP:; 
ICMP, SMTP, SNMP, POP, IMAP: 

S/MIME, TFTP, TELNET:; 

Rlogin, RPC, NFS, NIS:; 

DCOM, ISN, SRC: 

SYN, ACK, RST, FIN。 
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